哪些因素推动 Cisco IOS 升级?

网络工程 思科 思科-ios 最佳实践
2021-07-25 14:41:39

按照优先级/优先级,您在推动 Cisco IOS 升级(或降级)时考虑哪些因素? 如果不存在令人信服的因素,您会允许特定版本的 IOS 保持运行多久? 我见过一些正常运行时间超过 5 年的交换机。

而升级时,具体的IOS版本是如何确定为升级目标的?

3个回答

按照优先/优先顺序,我司倾向于基于以下因素进行升级:

  • 漏洞,漏洞,漏洞!
  • 错误
  • 获得当前不可用的新功能——新卡/模块具有“首先支持”的 IOS 版本,该版本可能高于您运行的版本
  • 从退休的发布系列迁移
  • 在最近部署的类似硬件上匹配版本

对基础设施非常关键的设备可能不会像不太关键的设备那样积极升级。考虑了设备的角色、围绕它的冗余以及升级本身由停机时间或在主要版本之间切换时配置功能行为更改或不同默认值的可能性的影响。这是必要性问题,也涉及软成本,例如完成升级所需的时间和资源,这些成本是根据每个因素(例如漏洞)的权重来衡量的。

请务必订阅Cisco PSIRT(产品安全事件响应小组)和US Cert(计算机应急准备小组)等多个漏洞公告站点

如果出现以下情况,可能需要降级:

  • 组织有一项政策,即只运行经过测试/质量保证的版本,并且新设备带有更新的版本。
  • Org 有一项政策,禁止运行 GD 以外的任何东西。

  • 使用 Cisco 的“show version”输出解释器查找明显的问题/漏洞/错误。
  • 寻找 GD(通用部署)版本并避免 DF(延期)。
  • 仅当 ED(早期部署)包含其他地方没有的必备功能时才使用。
  • 尽可能避免 LD(有限部署)并改用 GD。

使用 ED 或 LD 版本当然存在争议,但当然希望得到满足要求的最稳定版本。使用 Cisco 的Feature Navigator帮助识别可能不同的功能集(假设您已获得使用它们的许可)。

你错过了,必要性

一个布满灰尘的旧扫帚壁橱中的开关可能不需要将其 IOS 升级到最新的 IOS 以进行安全修复和新功能,如果它只连接了 10 年的旧喷墨打印机。

您还应该评论何时不升级,因为这可能会浪费时间和人力资源,并且在可能导致功能不再工作或配置语法发生更改的主要版本之间跳转时会导致停机,等等。

都是很好的评论。我还看到了网络标准化和 IOS 测试结果,可以帮助推动 ios 升级。

我同意漏洞在列表中的位置很高,但这也取决于网络类型和流量类型。

例如,金融机构将更关注安全性和漏洞,而不是另一种类型的网络,后者一旦受到漏洞攻击就会更加关注漏洞,从而推动变革。

除此之外,最好禁用网络或设备上不需要的服务。