Quels facteurs conduisent à une mise à niveau de Cisco IOS?

19

Par ordre de préférence / priorité, quels facteurs considérez-vous dans la conduite d'une mise à niveau (ou rétrogradation) avec Cisco IOS? S'il n'y a pas de facteurs convaincants, combien de temps autoriseriez-vous une version particulière d'IOS à continuer de fonctionner? J'ai vu des commutateurs avec des temps de disponibilité> 5 ans.

Et lors de la mise à niveau, comment la version spécifique d'IOS est-elle identifiée comme cible de mise à niveau?

erreur générale de réseau
la source

Réponses:

27

Par ordre de préférence / priorité, notre entreprise a tendance à se mettre à niveau en fonction de ces facteurs:

  • Vulnérabilités, vulnérabilités, vulnérabilités!
  • Bugs
  • Atteindre de nouvelles fonctionnalités non disponibles actuellement - les nouvelles cartes / modules ont une version IOS "d'abord prise en charge" qui pourrait être supérieure à celle que vous utilisez
  • Migration loin des trains de sortie retirés
  • Versions correspondantes sur du matériel plus récemment déployé et similaire

Un appareil qui est très critique pour l'infrastructure peut ne pas être mis à niveau de manière aussi agressive qu'un appareil moins critique. Une attention particulière est accordée au rôle de l'appareil, à la redondance qui l'entoure et à l'impact de la mise à niveau elle-même par le temps d'arrêt encouru ou par la possibilité d'avoir des changements de comportement des fonctionnalités de configuration ou des valeurs par défaut différentes lors du passage entre les versions principales. C'est la question de la nécessité qui touche également les coûts accessoires tels que le temps et les ressources nécessaires pour réaliser les mises à niveau mesurées par rapport au poids accordé à chacun des facteurs tels que les vulnérabilités.

Assurez-vous de vous abonner à plusieurs sites d'annonce de vulnérabilités tels que Cisco PSIRT (Product Security Incident Response Team) et US Cert (Computer Emergency Readiness Team).

Un déclassement peut être nécessaire si:

  • L'organisation a pour politique d'exécuter uniquement les versions testées / QA et le nouvel équipement est venu avec une version plus récente.
  • Org a une politique interdisant d'exécuter autre chose que GD.

  • Utilisez l'interpréteur de sortie de Cisco de «show version» pour rechercher des problèmes / vulnérabilités / bogues évidents.
  • Recherchez les versions de GD (déploiement général) et évitez DF (différé).
  • N'utilisez ED (Early Deployment) que s'il contient des fonctionnalités indispensables non disponibles ailleurs.
  • Évitez LD (déploiement limité) lorsque cela est possible et utilisez plutôt GD.

Il y a certainement des arguments pour passer à une version ED ou LD, mais le désir, bien sûr, est d'arriver à la version la plus stable qui réponde aux exigences. Utilisez le navigateur de fonctionnalités de Cisco pour aider à identifier des ensembles de fonctionnalités potentiellement différents (en supposant que vous êtes autorisé à les utiliser).

erreur générale de réseau
la source
3
En développant "Atteindre de nouvelles fonctionnalités", je ferais ressortir le fait que les nouvelles cartes / modules ont une version IOS "d'abord prise en charge" qui pourrait être supérieure à celle que vous utilisez.
Mike Marotta
2
J'ajouterais que cela dépend de l'importance de l'équipement et s'il est redondant ou non. Par exemple, si c'est votre commutateur principal, et pour une raison quelconque, vous n'en avez qu'un, alors vous ne voudrez PAS mettre à niveau, sauf si vous devez le faire - et peut-être pas à la version la plus récente, mais à la version la plus stable à la place.
Pseudocyber
2
J'aurais dit: 1. Vulnérabilités 2. Vulnérabilités 3. Vulnérabilités 4. Bugs
Paul Gear
Excellents points par tout le monde. Replié en réponse.
generalnetworkerror
8

Vous avez manqué, nécessité

Un commutateur dans un vieux placard à balais poussiéreux n'a probablement pas besoin que son IOS soit mis à niveau vers le dernier IOS pour des correctifs de sécurité et de nouvelles fonctionnalités, s'il n'a qu'une imprimante à jet d'encre de 10 ans.

Vous devez également indiquer quand ne pas mettre à niveau , car cela peut être une perte de temps, de ressources humaines et provoquer des temps d'arrêt lors du basculement entre les versions principales qui pourraient entraîner le dysfonctionnement des fonctionnalités ou la modification de la syntaxe de configuration, etc.

jwbensley
la source
Points intégrés à la réponse.
generalnetworkerror
Les périphériques réseau existent pour connecter des choses, ignorant la sécurité simplement parce qu'un périphérique est «isolé» a brûlé de nombreuses entreprises. Avec une politique de changement bien gérée, la mise à niveau est un faible coût, et la cohérence acquise à elle seule peut facilement rembourser le coût.
LapTop006
1
@ LapTop006 C'était un exemple hors du commun, mon point était cependant, que vous ne devriez pas toujours mettre à niveau "parce que vous pouvez", si vous n'avez vraiment aucune bonne raison de le faire.
jwbensley
1

Tous de très bons commentaires. J'ai également vu la normalisation du réseau et les résultats des tests IOS qui peuvent aider à conduire la mise à niveau d'ios.

Je conviens que les vulnérabilités sont élevées dans la liste, mais cela dépend également du type de réseau et du type de trafic.

Par exemple, une institution financière serait plus préoccupée par la sécurité et les vulnérabilités qu'un autre type de réseau qui pourrait être davantage préoccupé par les bogues une fois qu'ils seraient frappés par un, entraînant ainsi des changements.

En plus de cela, il est également préférable de désactiver les services non nécessaires sur le réseau ou sur les appareils.

user1609
la source