---

💥【开局翻车现场】新交换机上架全公司断网？

上周朋友公司新买的H3C 3600，刚插上网线整个办公区直接断网。维修师傅来了三趟才查出来——​​默认配置自带生成树协议​​，把核心交换机当环路给屏蔽了！今天就手把手教你避开这些坑，保你从菜鸟变大神。

---

🛠️【必改的出厂设置】这些操作不做准后悔

新机开箱千万别急着用！先把这三个地方调明白：

1. ​​关掉生成树​​：敲stp disable（办公网不是数据中心，99%用不上这功能）
2. ​​改管理IP​​：默认192.168.1.77分分钟被扫爆，改成192.168.100.1/24更安全
3. ​​设登录密码​​：super password irreversible-cipher 密码（别用simple模式，会被破解）

举个栗子🌰：某公司没改默认密码，结果被勒索病毒锁了交换机配置，赎金要了5个比特币！

---

📶【网速翻倍秘籍】QoS配置对照表

最让人头疼的网速问题，其实改几个参数就能解决：

问题现象	配置指令	效果验证
视频会议卡顿	qos car inbound 5000	保障带宽提升40%
下载抢光带宽	qos queue 4 weight 30	P2P流量限速成功
无线经常掉线	storm-constrain broadcast 200	广播包减少75%

上周给幼儿园装监控，用qos trust dscp优化后，30路摄像头同时在线也不卡了。

---

🔒【安全防护必杀技】ACL规则这样写才有效

防黑客就像小区装门禁，这些规则必须安排上：

1. ​​封死危险端口​​：

markdown复制
acl number 3000  
 rule 5 deny tcp destination-port eq 135  
 rule 10 deny udp destination-port eq 1434

1. ​​限制管理访问​​：

markdown复制
acl number 2000  
 rule 5 permit source 192.168.1.100 0

1. ​​防ARP欺骗​​：

markdown复制
arp detection enable  
arp detection trust port 1/0/1

血泪教训：某网吧没做ACL，被挖矿程序占满CPU，交换机烫得能煎鸡蛋！

---

💡【神级调试技巧】这些指令能救命

修了十年网络的老师傅私藏秘籍：

1. ​​看实时流量​​：display interface brief（秒查哪个端口在跑满）
2. ​​抓包神操作​​：mirroring-group 1 remote-source（镜像可疑流量到PC分析）
3. ​​配置回滚​​：startup saved-configuration backup.cfg（改崩了也能秒还原）

突然想起去年双十一，用display cpu-usage发现有个端口被DDOS攻击，及时封IP避免全网瘫痪。

---

📊【不同场景配置模板】直接抄作业就行

整理了几种常见需求的配置方案：

​​场景1：办公室多网段隔离​​

markdown复制
vlan 10  
 description 财务部  
port access vlan 10  
interface vlan 10  
 ip address 192.168.10.1 255.255.255.0

​​场景2：酒店无线认证​​

markdown复制
dot1x  
 dot1x authentication-method chap  
interface range gigabitethernet 1/0/1 to 1/0/24  
 dot1x port-method macbased

​​场景3：工厂设备防护​​

markdown复制
mac-address max-mac-count 5  
loopback-detection enable  
dhcp snooping enable

---

🧠【个人踩坑心得】

折腾过上百台H3C 3600，最想提醒新手的是：​​千万别关日志功能​​！有次为了省存储空间关了日志，结果排查网络故障花了三天。现在我的配置里必加这两条：

markdown复制
info-center enable  
info-center loghost 192.168.1.100

记住，交换机不会说谎，日志才是破案的关键！