我觉得与其说是安全原因，不如说是避免停机和导致中断，特别是在停机期间不使用动态路由重新路由流量或不使用高可用性（如 HSRP 或 VRRP）的情况下。这也是由于我们很多人都在实践这样一种信念，即如果它没有损坏，就不要修复它，此外，如果升级中没有您需要的新功能，并且它提供的错误修复是针对您不使用的功能的，没有真正的好处。除此之外，合同要求许多组织（包括我的组织）提交 n-1 和变更控制，这意味着在每年的特定时间，非生产设备会升级到其型号的 n-1 版本，如果被视为x 时间后稳定，生产设备升级到相同的版本。

我要避免这种情况的最后一个原因是，对于一些新版本，即使它们只是一个小版本（例如从 8.2 迁移到 8.3 的 ASA），也有一个全新的配置语法和逻辑，特别是与 NAT 和 ACL 相关的，如果未正确转换，则很有可能破坏环境。如果设备是在没有管理员参与的情况下在半夜完成的，那么在管理员发现故障并修复之前，这可能是灾难性的。