按照优先级/优先级的顺序,您在考虑使用Cisco IOS进行升级(或降级)时会考虑哪些因素?如果没有引人注目的因素,您将允许特定版本的IOS保持运行多长时间?我已经看到一些正常运行时间超过5年的交换机。

在升级时,如何将特定的IOS版本标识为升级目标?

#1 楼

为了获得优先级/优先级,我们公司倾向于根据以下因素进行升级:



漏洞,漏洞,漏洞!

错误

获得当前不可用的新功能-新卡/模块具有“首次支持” IOS版本,该版本可能高于运行的版本>从退休的发行版迁移

在较新部署的硬件和类​​似硬件上匹配版本

对于基础架构至关重要的设备可能不会像不太重要。考虑设备的角色,设备周围的冗余以及因停机而引起的升级本身或由于在主要版本之间切换时配置功能行为更改或不同默认值的可能性而对升级本身造成的影响。这是一个必不可少的问题,它还涉及软成本,例如完成升级所需的时间和资源,这是根据对每个因素(如漏洞)的权重衡量的。

请务必订阅多个漏洞公告站点,例如Cisco PSIRT(产品安全事件响应小组)和US Cert(计算机紧急情况准备小组)。如果满足以下条件,则可能需要降级:


组织有一项政策,只能运行经过测试/质量检查的版本,而新设备则随更新的版本一起发布。
组织有一项政策,禁止运行除GD以外的任何程序。漏洞/错误。
查找GD(一般部署)版本,避免使用DF(推迟)。
仅当ED(早期部署)包含其他地方没有的必备功能时,才使用它。
尽可能避免使用LD(有限部署),而应使用GD。

当然,有选择使用ED或LD版本的争论,但是,当然希望获得满足要求的最稳定版本。使用Cisco的Feature Navigator帮助识别可能不同的功能集(假设您已获得使用这些功能集的许可)。

评论


在扩展“获得新功能”方面,我将介绍一个事实,即新卡/模块具有“首次支持”的IOS版本,该版本可能高于您所运行的版本。

–迈克·马洛塔(Mike Marotta)
13年5月30日在13:55

我要补充一点,取决于设备的关键程度以及是否冗余。例如,如果它是您的核心交换机,并且由于某种原因,您只有一个,那么您可能不想升级,除非您必须升级到-然后可能不是最新版本,而是升级到最稳定的版本。

–伪网络
13年5月30日在14:36

我会说:1.漏洞2.漏洞3.漏洞4.错误

– Paul Gear
13年5月30日在23:09



每个人的优点。折回去。

–generalnetworkerror
13年5月31日在20:06

#2 楼

您错过了,是必要的

如果尘土飞扬的旧扫帚壁橱只有10年的喷墨功能,则可能不需要将其IOS升级到最新的IOS以获得安全修复和新功能

您还应该评论何时不进行升级,因为这可能会浪费时间,人力资源,并且在主要版本之间切换时会导致停机,从而可能导致功能无法正常使用或配置语法已更改,依此类推。

评论


点数纳入答案。

–generalnetworkerror
13年5月31日在20:05

存在存在用于连接事物的网络设备,只是因为设备“隔离”已经烧毁了许多公司而忽略了安全性。如果变更管理得当,则升级成本很小,而且仅靠获得的一致性就可以轻松地偿还成本。

–LapTop006
2013年6月1日12:10

@ LapTop006这是一个简单的例子,但是我的意思是,如果您确实没有充分的理由,那么您不应该总是“因为可以”升级。

– jwbensley
2013年6月1日15:32

#3 楼

所有非常好的评论。我还看到了网络标准化和IOS测试结果,它们可以帮助推动ios升级。

我同意列表中的漏洞很高,但这也取决于网络类型和流量类型。

例如,金融机构将比其他类型的网络更关注安全性和漏洞,而另一种类型的网络一旦遇到漏洞并推动变革,就可能更关注漏洞。

除此之外,最好禁用网络或设备上不需要的服务。