拿到一台新的华为交换机，第一步绝对不是急着插网线、配命令，高效配置的核心在于“谋定而后动”，先把交换机放在一边，打开一个文本编辑器（比如记事本或VS Code）,开始规划。

第一步：规划与设计（纸上谈兵阶段）

这是最重要的一步,能避免你后期无数次的修改和排错。

1. 画个简单的网络拓扑图： 哪怕只用方框和直线画个草图也行，要清楚这台交换机上哪些端口连接服务器，哪些连接电脑，哪个端口连接上一级网络（比如路由器或核心交换机）,哪些端口需要两两互联。
2. 规划IP地址和管理VLAN： 绝对不能把交换机的管理地址随便设在一个大家都在用的网段里，最佳实践是创建一个专门的VLAN（比如VLAN 99），只用于管理网络设备，为这个VLAN规划一个独立的网段（比如192.168.99.0/24），并给这台交换机分配一个固定的IP地址（比如192.168.99.2）,这样以后管理起来既安全又清晰。
3. 规划业务VLAN： 根据你的网络需求，划分不同的VLAN，财务部的电脑在一个VLAN（VLAN 10），市场部在另一个VLAN（VLAN 20），这样做可以实现网络隔离，提高安全性和性能,想好每个端口应该属于哪个VLAN。
4. 规划端口类型： 连接电脑、打印机的端口一般设为接入模式；连接另一台交换机的端口一般设为干道模式,允许多个VLAN的流量通过。

第二步：基础配置（让交换机变得“有名有姓”）

现在可以连接Console线,开始实际操作了。

1. 起个名字： 一进入系统，首先给交换机改个主机名。system-view sysname SW-Office-1F，这样当你管理多台设备时，一眼就能认出它,避免误操作。
2. 关闭不需要的服务： 为了提高安全性，默认一些不常用的网络服务可能是开启的，可以直接关掉。undo http server enable 关闭HTTP网页管理（用更安全的HTTPS），undo telnet server enable 关闭不安全的Telnet。
3. 创建管理VLAN并配置IP： 按照之前的规划，先 vlan 99，interface vlanif 99，再 ip address 192.168.99.2 255.255.255.0,这样就配好了管理地址。
4. 配置远程登录： 总不能一直抱着Console线管理，需要设置SSH（一种加密的远程登录方式）。
   • 首先创建一个用户，local-user admin password cipher MyPassword123（cipher表示密码是加密存储的）。
   • 给这个用户设置权限级别，local-user admin privilege level 15（15是最高权限）。
   • 配置VTY（虚拟终端）线路，让它支持SSH协议：user-interface vty 0 4，authentication-mode aaa（表示用刚才创建的aaa用户认证），protocol inbound ssh（只允许SSH登录）。
   • 最后在系统视图下生成SSH密钥：rsa local-key-pair create。
5. 保存配置： 一定要记得用 save 命令保存，否则设备重启后你的配置就全没了，系统会问你是否确认，输入y就行。

第三步：业务配置（让网络通起来）

基础打好后,开始配置具体业务。

1. 配置VLAN和端口：
   • 创建业务VLAN：vlan batch 10 20（一次性创建VLAN 10和20）。
   • 配置接入端口：比如将1到10号口给财务部，进入端口视图 interface gigabitethernet 0/0/1 to 0/0/10，port link-type access，再 port default vlan 10。
   • 配置干道端口：比如24号口连接核心交换机。interface gigabitethernet 0/0/24，port link-type trunk，port trunk allow-pass vlan 99 10 20（允许管理VLAN和两个业务VLAN通过）。
2. 配置链路聚合（实用技巧）： 如果有一条很重要的链路（比如连接服务器或核心交换机），担心一根网线坏了会断网，可以用两根或多根网线捆绑在一起，增加带宽和可靠性。
   • 先创建一个聚合组：interface eth-trunk 1。
   • 然后把物理端口加进去：interface gigabitethernet 0/0/23，eth-trunk 1，对另一个端口做同样操作，这样逻辑上就只有一条更粗的“管道”了。

第四步：实用技巧与安全加固

1. 使用端口组： 如果要给一批端口做同样的配置（比如都设为接入VLAN 10），用端口组效率极高。port-group test，group-member gigabitethernet 0/0/1 to gigabitethernet 0/0/10，之后直接在端口组视图下配置 port link-type access 和 port default vlan 10,这10个端口就全部配置好了。
2. 开启生成树协议（STP）： 为了避免网络中出现环路（会导致网络瘫痪），一般在交换机上默认开启STP就行，stp enable，对于连接电脑的端口，可以将其设置为边缘端口 stp edged-port enable,这样端口UP时会更快进入转发状态。
3. 禁用不用的端口： 将暂时不用的网络端口手动关闭 shutdown，这是一个很好的安全习惯,防止有人随便插根网线就接入网络。
4. 配置时钟和日志： 给交换机配置一个NTP时钟服务器，保证日志时间准确，方便以后查问题，配置日志主机,将日志发送到一台专门的服务器保存。

最后总结一下高效流程：

规划 -> 基础系统配置（命名、管理IP、SSH）-> 业务配置（VLAN、端口）-> 安全与优化加固 -> 保存配置。

养成在文本编辑器里提前写好配置命令的习惯，然后一次性粘贴到交换机里，这比一条条敲命令要快得多，而且不容易出错，定期使用 display current-configuration 命令查看当前配置,并与你的规划进行核对。