Welche Faktoren berücksichtigen Sie in der Reihenfolge von Präferenz / Priorität, wenn Sie ein Upgrade (oder Downgrade) mit Cisco IOS durchführen? Wenn keine zwingenden Faktoren vorliegen, wie lange würde eine bestimmte Version von IOS ausgeführt? Ich habe einige Schalter mit Laufzeiten> 5 Jahren gesehen.
Und wie wird beim Upgrade die jeweilige IOS-Version als Upgrade-Ziel identifiziert?
In der Reihenfolge Ihrer Präferenz / Priorität tendiert unser Unternehmen dazu, ein Upgrade basierend auf diesen Faktoren durchzuführen:
Schwachstellen, Schwachstellen, Schwachstellen!
Bugs
Neue Funktionen erhalten , die derzeit nicht verfügbar sind - neue Karten / Module verfügen über eine "First Supported In" -IOS-Version, die möglicherweise höher ist als die, die Sie ausgeführt haben
Abwanderung von ausgemusterten Release-Zügen
Übereinstimmende Versionen auf kürzlich bereitgestellter und ähnlicher Hardware
Ein Gerät, das für die Infrastruktur sehr kritisch ist, wird möglicherweise nicht so aggressiv aktualisiert wie ein Gerät, das weniger kritisch ist. Berücksichtigt werden die Rolle des Geräts, die damit verbundene Redundanz und die Auswirkungen des Upgrades selbst auf die Ausfallzeit oder auf die Möglichkeit, dass sich das Verhalten der Konfigurationsfunktionen ändert oder andere Standardeinstellungen beim Wechseln zwischen Hauptversionen auftreten. Dies ist die Notwendigkeitsfrage , die sich auch auf weiche Kosten wie Zeit und Ressourcen für die Durchführung der Upgrades bezieht, gemessen an der Gewichtung der einzelnen Faktoren wie z. B. Schwachstellen.
Stellen Sie sicher, dass Sie mehrere Websites mit Meldungen zu Sicherheitslücken abonnieren, z. B. das Cisco PSIRT- Team (Product Security Incident Response Team) und das US-amerikanische Cert- Team (Computer Emergency Readiness Team).
Ein Downgrade könnte angebracht sein, wenn:
Die Organisation hat die Richtlinie, nur getestete / QS-Versionen auszuführen, und neue Geräte wurden mit einer neueren Version ausgeliefert.
Org hat eine Richtlinie gegen alles andere als GD.
Verwenden Sie den Cisco Output Interpreter von "show version", um nach offensichtlichen Problemen / Schwachstellen / Fehlern zu suchen.
Suchen Sie nach GD-Releases (General Deployment) und vermeiden Sie DF (Deferred).
Verwenden Sie ED (Early Deployment) nur, wenn es Funktionen enthält, die an keiner anderen Stelle verfügbar sind.
Vermeiden Sie nach Möglichkeit LD (Limited Deployment) und verwenden Sie stattdessen GD.
Es gibt sicherlich Argumente für eine ED- oder LD-Version, aber der Wunsch ist natürlich, die stabilste Version zu finden, die den Anforderungen entspricht. Verwenden Sie den Feature Navigator von Cisco , um potenziell unterschiedliche Feature-Sets zu identifizieren (vorausgesetzt, Sie sind für deren Verwendung lizenziert).
Wenn ich "Neue Funktionen erlangen" erweitere, möchte ich darauf hinweisen, dass neue Karten / Module eine "First Supported In" -IOS-Version haben, die möglicherweise höher ist als die, die Sie ausgeführt haben.
Mike Marotta
2
Ich würde hinzufügen, dass es davon abhängt, wie kritisch die Ausrüstung ist und ob sie redundant ist oder nicht. Wenn es sich beispielsweise um Ihren Core-Switch handelt und Sie aus irgendeinem Grund nur einen haben, möchten Sie möglicherweise KEIN Upgrade durchführen, es sei denn, Sie MÜSSEN - und dann möglicherweise nicht auf die neueste Version, sondern auf die stabilste Version.
Hervorragende Punkte von allen. Zurück zur Antwort gefaltet.
Generalnetworkerror
8
Sie haben es verpasst, Notwendigkeit
Ein Schalter in einem staubigen alten Besenschrank benötigt wahrscheinlich kein IOS-Upgrade auf das neueste IOS, um Sicherheitskorrekturen und neue Funktionen durchzuführen, wenn nur ein 10 Jahre alter Tintenstrahldrucker angeschlossen ist.
Sie sollten auch angeben, wann ein Upgrade nicht durchgeführt werden soll , da dies zu Zeit- und Personalverschwendung und zu Ausfallzeiten führen kann, wenn Sie zwischen Hauptversionen wechseln, die möglicherweise dazu führen, dass Features nicht mehr funktionieren oder die Konfigurationssyntax geändert wurde.
Netzwerkgeräte sind vorhanden, um Dinge zu verbinden, und die Sicherheit zu ignorieren, nur weil ein Gerät "isoliert" ist, hat viele Unternehmen verbrannt. Mit einer gut verwalteten Änderungsrichtlinie sind Upgrades mit geringen Kosten verbunden, und die allein gewonnene Konsistenz kann die Kosten leicht zurückzahlen.
LapTop006
1
@ LapTop006 Das war ein Off-the-Cuff-Beispiel, mein Punkt war allerdings, dass man nicht immer "weil man kann" upgraden sollte, wenn man wirklich keinen guten Grund dazu hat.
Jwbensley
1
Alles sehr gute Kommentare. Ich habe auch Netzwerkstandardisierung und IOS-Testergebnisse gesehen, die beim Upgrade von IOS helfen können.
Ich würde zustimmen, dass Schwachstellen in der Liste weit oben stehen, aber es hängt auch von der Art des Netzwerks und der Art des Datenverkehrs ab.
Zum Beispiel würde sich ein Finanzinstitut mehr mit Sicherheit und Schwachstellen befassen als eine andere Art von Netzwerk, das sich mehr mit Fehlern befassen könnte, sobald sie von einem betroffen sind, was zu Veränderungen führt.
Außerdem ist es am besten, Dienste zu deaktivieren, die im Netzwerk oder auf den Geräten nicht benötigt werden.
Sie haben es verpasst, Notwendigkeit
Ein Schalter in einem staubigen alten Besenschrank benötigt wahrscheinlich kein IOS-Upgrade auf das neueste IOS, um Sicherheitskorrekturen und neue Funktionen durchzuführen, wenn nur ein 10 Jahre alter Tintenstrahldrucker angeschlossen ist.
Sie sollten auch angeben, wann ein Upgrade nicht durchgeführt werden soll , da dies zu Zeit- und Personalverschwendung und zu Ausfallzeiten führen kann, wenn Sie zwischen Hauptversionen wechseln, die möglicherweise dazu führen, dass Features nicht mehr funktionieren oder die Konfigurationssyntax geändert wurde.
quelle
Alles sehr gute Kommentare. Ich habe auch Netzwerkstandardisierung und IOS-Testergebnisse gesehen, die beim Upgrade von IOS helfen können.
Ich würde zustimmen, dass Schwachstellen in der Liste weit oben stehen, aber es hängt auch von der Art des Netzwerks und der Art des Datenverkehrs ab.
Zum Beispiel würde sich ein Finanzinstitut mehr mit Sicherheit und Schwachstellen befassen als eine andere Art von Netzwerk, das sich mehr mit Fehlern befassen könnte, sobald sie von einem betroffen sind, was zu Veränderungen führt.
Außerdem ist es am besten, Dienste zu deaktivieren, die im Netzwerk oder auf den Geräten nicht benötigt werden.
quelle