以Ruijie交换机（二层）为例：

设备上电后的默认配置为：

（注：该设备使用了del config.text清除过了配置）

version RGOS 10.4(2b12)p6 Release(196987)(Fri Jan 22 09:33:36 CST 2016 -ngcf61)
!
nfpp
!
vlan 1
!
no service password-encryption
ip dhcp relay information manage-vlan 1
!
interface GigabitEthernet 0/1
!
interface GigabitEthernet 0/2
!
......
!
interface GigabitEthernet 0/51
!
interface GigabitEthernet 0/52
!
line con 0
line vty 0 4
 login
!
end

生产环境下的接入交换机配置（逐行）：

version RGOS 10.4(2b11)p1 Release(134566)(Wed Apr 25 21:08:21 CST 2012 -ngcf63)
hostname XX-YY-1F-RG2928
!
nfpp
!
rldp enable

设备版本；

hostname，为设备命名，一般为XX楼-YY栋-ZZ层-设备型号（也可以在最前方表明此为接入交换机，如XX-JR-3F-RG2928，意为XX楼3楼的接入交换机）

nfpp，网络基础保护策略（Network Foundation Protection policy），可以有效地防止系统受这些攻击的影响。在受攻击情况下，保护系统各种服务的正常运行，以及保持较低的CPU负载，从而保障整个网络的稳定运行（可以防止目前网络中的多种攻击手段如ARP攻击、ICMP攻击、IP扫描攻击、DHCP耗竭等）。锐捷私有技术，交换机默认开启。

rldp，环路检测&链路检测（Rapid Link Detection Protocol），锐捷私有协议，用于快速检测以太网链路故障的链路协议，类似于Huawei/H3C的Loopback detection。默认开启，关联下述接口中的“rldp port loop-detect shutdown-port”配置。

vlan 1
!
vlan 2
!
vlan 3
!
......
vlan 49
!
vlan 50
!
vlan 1000
 name manage

创建vlan，10.4版本的交换机会逐行显示创建的每一条Vlan，在11.0版本后会以vlan range 1-50 ,1000显示。

username admin password admin
username admin privilege 15

创建一个优先级为15的用户，其用户名与密码都是admin。

no service password-encryption
ip http authentication local
ip dhcp relay information manage-vlan 1
ip dhcp snooping

no service password-encryption密码字符串不以密文加密（即登录设备可见），默认配置。

ip http authentication local锐捷设备在开启HTTP服务后，输入该命令开启Web的本地密码认证，在RGOS10下默认开启。

ip dhcp relay information manage-vlan 1，DHCP中继信息为Vlan 1。默认开启。

ip dhcp snooping，全局开启DHCP监听，网络中的客户端只有从管理员指定的DHCP服务器获取IP地址，关联下述级联接口的“ip dhcp snooping trust”配置。

enable password xxxxxxxx
enable service web-server

设置enable密码，如果以enable secret xxxxxxxx，则密码将以密文显示（无论是否no service password-encryption）。

允许通过Web界面登录交换机。

spanning-tree
spanning-tree mst 0 priority 16384

全局使能STP，只设置一个MST域，接入交换机优先级一般设置为12288与16384。

interface GigabitEthernet 0/1
 switchport access vlan 2
 (ip verify source port-security //可选)
 rldp port loop-detect shutdown-port
 spanning-tree bpduguard enable
 spanning-tree portfast
!
......
!
interface GigabitEthernet 0/24
 switchport access vlan 24
 (ip verify source port-security //可选)
 rldp port loop-detect shutdown-port
 spanning-tree bpduguard enable
 spanning-tree portfast

1至24口为千兆以太网Access口，用于连接用户终端。端口下使能RLDP检测技术、BPDU防护与快速端口，这些端口默认不接受BPDU，若收到BPDU，则端口禁用（进入Err-disabled状态），一般后两者一同配置使用。

ip verify source port-security，用于防止用户手动设置终端IP地址。

interface GigabitEthernet 0/25
 switchport mode trunk
 switchport trunk allowed vlan remove 1,51-999,1001-4094
 ip dhcp snooping trust 
 descripton To-XX-HJ-XGigabit x/y

25-28口一般为Trunk口，用于级联上下级交换机，本例中用于连接汇聚交换机，并裁剪Vlan以减少广播域范围，本端口同时为DHCP的信任端口。

可在级联端口描述该接口的去向，如去往某栋楼的汇聚设备x/y接口。

interface VLAN 1000
 no ip proxy-arp
 ip address 172.16.a.b 255.255.0.0
 description manage vlan

设置SVI作为管理地址（该地址仅用于远程登录），添加描述，并关闭ARP代理功能（默认关闭）

ip route 0.0.0.0 0.0.0.0 172.16.0.1

做一条指向网关的默认路由，在更早的设备上这条命令可能会以ip default-gateway 172.16.0.1出现。

snmp-server host 172.a.b.c traps version 2c xxxxxxxx
snmp-server community xxxxxxxx rw 

设置SNMP功能，向服务器172.a.b.c发送Trap消息，版本为v2c，团体名为xxxxxxxx，可读写。

line con 0
line vty 0 4
 privilege level 15
 login
 password xxxxxxxx

设置Console用户（只创建用户，未做设置，默认），设置远程用户，最多支持5位远程用户（同时在线），优先级都为15，远程时采取login方式（即enable密码+二级密码）登录设备。

注：若为login local，则为用户名+用户名登录。

不同型号/版本设备额外多出的默认配置（不详解）：

redundancy
 auto-sync time-period 3600
 auto-sync standard
 switchover timeout 4000
 
//S5510-48GT/4SFP-E
//RGOS 10.4(3b16)p2 Release(170334)

no co-operate enable
 
//S5750-24GT/12SFP
//RGOS 10.4(3)p1 Release(137164)

小结：

作为接入交换机，园区内的众多（锐捷）设备配置模板并不一致，如部分设备未配置快速端口，部分设备未配置DHCP Snooping，部分设备端口下连基本的防环/破环机制都没有，部分设备的Uplink接口未裁剪无关Vlan等，配置完善程度参差不齐，笔者所演示的部分已经是多个设备配置整合在一起的版本。

其次，这份配置还有更多需要优化的部分，如每台设备都应该关联NTP服务器，保证日志时间准确；远程登录的方式也应该选择更安全的SSH（在绝大多设备上根本没有关于SSH的配置）等。

在更苛刻的环境下，接入层交换机也可以通过禁用Finger服务、Hootp服务、Small TCP/UDP服务等以保证安全，当然，有部分配置可以在更高层次的三层交换机/路由器/防火墙上完成。

笔者对于SNMP协议以及SNMP服务器与网络设备的数据采集等知识还有所欠缺。

园区内还存在部分Huawei与H3C的交换设备，通过查看这些配置以分析不同厂商设备的默认配置逻辑以及实现相同功能的细小差异。