一、登入交換機 首先找一根CONSOLE線將計算機的串列埠與交換機的CONSOLE口相連。（注：CONSOLE[控制檯]線的一端為RJ45的水晶頭，一端用DB9的串列埠，如果想要自己製作這根線，可以使用一根UTP網線將兩端對調連線，即兩端的線序正好相反，再配一個RJ45轉DB9的接頭即可） 在計算機裡點選“開始”——“所有程式”——“附件”——“通訊”——“超級終端”，將出現一個對話方塊，輸入一些數字（可隨意），回車後還要建立一個連線名稱，隨便輸入一些字元，一路回車即可。 給交換機加電，超級終端對話方塊裡將會顯示交換機啟動的整個過程，以後對交換機的所有操作也是在這個介面裡進行的。 注：交換機加電啟動過程 給交換機通電後，它會第一個讀取ROM中的BOOT STREAM檔案，將系統引導起來，然後它會去尋找FLASH（快閃記憶體，相當於計算機的硬碟）中的以.BIN結尾的壓縮檔案，因為這個檔案就是交換機的作業系統IOS（INTERNET OPERATION SYSTEM 網路作業系統），同時還要檢查FLASH中有沒有CONFIG.TEXT的配置檔案，如果有也一同載入，然後把它們都載入到RAM中（相當於計算機的記憶體，啟動後所作的工作全在這裡面進行。）。注意這個配置檔案，它裡面記錄了我們對交換機所作的所有更改（第一次啟動交換機是沒有配置檔案的，交換機會載入一個預設的配置檔案），包括主機名、密碼、埠描述等。如果交換機在載入的過程中沒有發現這個檔案，將又會啟用預設的配置，此時以前作的更改全部恢復到原始狀態，交換機的密碼恢復正是利用這一特性才可以使密碼恢復成為可能。二、對交換機的基本的操作

啟動完成後，我們就可以對交換機進行操作了。每次進入交換機時，首先會進入到使用者模式下，在此模式下不能對交換機進行修改、甚至有些資訊都無法檢視，這也是為安全著想。使用者模式下的提示符為 > 為了更進一步的對交換機進行操作，我們必須進入到特權模式或全域性模式，而從使用者模式下只能進入特權模式，再從特權模式進入全域性模式，也就是說之中不能跨級。從使用者模式下進入特權模式，鍵入ENABLE或者簡寫為EN都是可以的，但是要注意，如果交換機有密碼，鍵入後回車下一步會讓你輸入密碼的。如果你不知道密碼，那操作就到此為止吧，等一會兒教你如何破解哦！ 進入特權模式後，提示符變成了 # ，在特權模式下，只能做檢視和一些非RAM中操作的命令，比如複製、儲存等。如果想對交換機進行修改，必須進入全域性模式，這才是交換機中的精華所在。從特權模式進入全域性模式，鍵入CONFIG TERMINAL，也可以簡寫為CONF T ，此時就無需什麼密碼了，因為你既然能進入特權模式，證明你是一個管理員，所以從特權到全域性也就不再需要畫蛇添足了。 全域性模式下的提式符為 （config）# ，此時你可以設定密碼，設定主機名，以及進入介面模式對介面進行操作。 比如設定主機名為ABC，則輸入以下命令：hostname ABC，回車後發現提示符前半部分變成了ABC，即： ABC（config）# 密碼的設定分為四種：下面來介紹最常用的兩種——明文和密文密碼的設定。 密碼的設定方法其實非常簡單，首先要搞清楚明文密碼和密文密碼到底有什麼區別。 顧名思義，明文密碼就是設定後通過特權模式下的 SHOW RUN 命令可以看到原型的密碼，即你設定了一個ABC的密碼，那麼在 SHOW RUN 時可以在資訊列表中看到你設定的ABC。這樣有不安全的因素，因為如果你在操作交換機時因故要離開一小段時間，在場的其中一人恰巧也會交換機的命令，那麼很簡單的就可以把你的密碼給盜了，而你卻渾然不知，為此我們要給交換機設定一個密文的密碼。設定完密文密碼後，一定要記住，因為 SHOW RUN 顯示的是一堆經過 MD5 加密的字串，誰也看不懂，如果忘了，沒有辦法，你只有搞一遍密碼恢復了。 說完了明文和密文的區別，回頭再來看怎麼設定它們，命令是極其相似的且十分簡單。首先進入全域性模式，然後在提示符後鍵入 enable password **** (****是你設定的密碼），即設定了一個明文密碼。回車後鍵入 end 直接返回到特權模式下，用 show run 命令檢視，可以在上面幾行檢視到你剛才設定的密碼，此時密碼已經生效。在特權模式下鍵入 exit 退回到使用者模式，再想進入到特權模式時，就要輸入剛才你設定的密碼了。 密文密碼的設定方法為 enable secret **** ，需要注意的是，如果此前設定過明文密碼，無所謂不用管它，因為密文密碼的優先順序高於明文密碼。換句話說如果明文和密文密碼同時存在，有效的只是密文密碼。同樣密文密碼也是在使用者模式進入特權模式時使用的，至於有沒有必要同時設定兩種密碼呢？回答是必要的，因為在網路壞境中，無數非法使用者無時無刻不在想盡各種辦法來破解你的密碼，以達到非法登入的目的，增加一個明文密碼會干擾他的視線，因為他並不知道哪個是明文哪個是密文的，如果他把明文當成密文的來破解，費盡無數心血後其實破解的是一個不能登入的密碼，他也許就會放棄了。 說明：命令不分大小寫，但是密碼要分的。 三、交換機的密碼恢復過程（破解方法） 前面說過 config.text 這個配置檔案，它裡面存放的是一切我們對交換機所作的設定，交換機在啟動時，會去找這個檔案，如果有則將它載入在 RAM 中，一旦載入成功，我們原來對交換所做的一切設定就會全都應用，包括主機名、密碼、埠描述、埠開關狀態等等。那麼我們只要想辦法讓交換機在啟動時不去讀這個配置檔案不就可以讓它載入預設配置了？而預設配置檔案是沒有密碼的。那麼究竟怎樣才能讓交換機啟動時不去讀配置檔案呢？ 最簡單的方法就是把 config.text 這個配置檔案改名。具體步驟如下：（以思科2950為例） 1、拔掉交換機的電源插頭使其斷電，然後按住交換機上的MODE鍵不放，接通電源。 2、幾秒鐘後即可鬆開MODE 鍵，此時交換機並沒有啟動，而是來到了 ROM 中。此時有三個選項： flash_init load_helper boot

因為我們即將要在 FLASH 中進行操作，因此選擇 flash_init 命令將快閃記憶體初始化一下，讓它作好準備工作。

3、執行 dir flash: 命令，注意 flash 後面的冒號一定要帶上，此命令將會把 flash 中的檔案全都列出來，我們可以看到 config.text 這個檔案。 4、將這個檔案改個名字，原則上任意名字都可以，但是為了不至於改得太離譜而忘了是哪個檔案，我建議你只修改少量部分，如將字尾改成abc。 執行 rename flash:config.text flash:config.abc 命令，此命令的意思是將 flash 中的config.text 檔案改名為 config.abc ，當然也可以改為其它名，只要一會兒你還記得就行。注意此命令的格式，冒號一定要的，且前後兩個flash都不能少，它表示源地址和目的地址，冒號與 config 之間沒有空格。 5、可選步驟，為了確認一下名字是否改了過來，可以再次 dir flash: 來檢視一下，如果操作沒有失誤，這時應該看到剛才的 config.text 這個檔案被改成了 config.abc 。 6、執行 boot 命令，引導交換機啟動。到這一步，基本就和正常啟動沒有什麼區別了，只是由於剛才我們把配置檔名給改了，系統找不到配置檔案，就會載入預設的配置檔案了。 7、由於是預設的配置檔案，第一次啟動時它會問你是否進入配置檔案來進行設定；由於我們的目的不在於此，所以鍵入 n 鍵，即拒絕進入配置檔案。 8、進入正常的操作介面後，預設是在使用者模式下的；鍵入 en 命令來到特權模式，首先可以檢視一下 flash 中的配置檔案，鍵入 show flash: 。當然也可以不檢視，前提是你有十分的把握。 9、以下都是關鍵的幾步，做錯一步，全盤皆輸。首先將 flash 中的配置檔名再改回去，執行 rename flash:config.abc flash:config.text 命令。（config.abc ：如果你剛才更改的名字與我此例中不同，請按你改後的實際名字來鍵入。） 10、將 config.text 複製到 RAM 中，執行 copy flash:config.text system:running-config 命令。為什麼要複製過來而不是直接設定一個密碼然後儲存完事呢？這裡牽扯到一個問題：配置檔案裡不光是儲存著密碼這一條資訊，還有剛才我說過的其它的一系列資訊；如果不把它複製過來光是在當前的空配置檔案上設定一條密碼的話，那麼儲存的時候新的配置檔案將會覆蓋舊的配置檔案，即這個僅僅只設了一個密碼的配置檔案將以前設定了很多項的配置檔案給覆蓋了，如果以前設定的項不多還好說，重新再一條條的設唄！但是如果設定了很多豈不太可惜了？ 11、更改密碼。就象設定一條新密碼一樣，直接輸入就行，在交換機中是不需要鍵入舊密碼再更改新密碼的，後做的修改直接就覆蓋了先做設定。（注意此步驟是在全域性模式下進行的。） 12、把配置檔案再拷貝回去，兩條命令 wr 或 copy run start 都可以。此時原配置檔案中的密碼就被更改了過來，密碼恢復過程完畢。 說到這裡，也許有人會問，密碼確解如此簡單的幾個步驟即可，那還有什麼安全可言。是的，密碼恢復（或叫密碼破解）是很簡單的，所以無論你的交換機設定瞭如何強的密碼，只要懂行的人能夠接觸到你的交換機，密碼便不再是密碼了，因此機房的安全才是最重要的。 四、如何遠端登入交換機 我們知道，可以用CONSOLE線來進行電腦和交換機之間的直接連線來進行訪問，但是現實工作中絕大部分時間不是這樣的。比方說我身處一家大公司，公司的分公司比較多，遍佈祖國各地，這都需要我來管理。這時我就離各分公司的交換機很遙遠，如果分公司的交換機需要管理，怎麼辦？弄一根超長的CONSOLE線？還是說經常跑來跑去到各分公司進行管理？恐怕老總不會給你報銷車費的。這都不現實，因此我們就要學習另一種管理交換機的方法——遠端管理。 使用遠端登入服務恐怕各位都十分熟悉了，就是TELNET服務。為了實現遠端登入，必須為交換機設定一個IP地址才行，注意：這裡設定的IP地址只是為了遠端管理，在本地區域網中並沒有什麼特別的含義。在交換機中，這個IP地址的介面是一個虛擬的介面，稱為VLAN ，因為本身交換機並不存在這個介面，使用TELNET登入還是使用原來的網線介面。而交換機在工作時，本身就連線著許多的網線，就給遠端管理提供了條件。換句話說，只要交換機連線到因特網，那麼你在世界上任何一臺聯網的電腦上都可以登入管理。 下面就來看看怎麼設定這個虛擬介面的IP地址。 交換機中預設的VLAN介面稱為VLAN 1 ，注意：這裡的 1 並不是說使用真實的第 1 介面，與硬體介面沒有任何關係，無論用交換機的哪個介面都是可以登入VLAN 1 的。首先要來到此虛擬介面下，才能設定此介面的引數，大家還記不記得如何進入全域性模式呢？在全域性模式下鍵入 interface vlan 1 回車，此時來到介面模式，注意介面模式下的提示符又變了：（config-if）# ，其中的 if 就是 interface 的縮寫。在介面模式下設定 IP 地址，鍵入：ip address ***.***.***.*** ###.###.###.### ，前面的*是IP地址，後面的#是子網掩碼，注意這裡的 IP 地址的網段要設定成我們管理地的網段，比如管理方區域網的網段為192.168.1.0/24 這個網段，那麼這裡設定交換機的 IP 地址時，也要設定成 192.168.1.0/24 這個網段。（這其中好象牽扯到 NAT 地址轉換的問題，請版主或高手們作更詳細的解答。）設定完 IP 地址後，別忘了鍵入 no shut 命令把此介面開啟，預設情況下它是 shutdown 即關閉的。 設定好這個以後，我們可以電腦來 PING 一下，看是否能 PING 通，如果能 PING 通，證明與電腦的連線良好且為同一網段，接著我們試著 TELNET 一下，即在電腦的命令提示符合鍵入 telnet ***.***.***.*** ，回車後你發現了什麼？會出現一段英文，意思是交換機的密碼未設定，不能訪問。原來為了增加安全性，未設定密碼的交換機不會讓你登入。 回到交換機中，為 VLAN 1 設定密碼，來到全域性模式下（密碼的設定全是在全域性模式下），鍵入 line vty 0 ? (?為1~14之間的數字，意思是你要為交換機設定多少個同時連線數，一般不建議全部對外敞開，通常此數字選4，即開啟0、1、2、3、4 共5個連線。），注意 0 和 ？ 之間有空格。回車再鍵入 login 表示登入到此鏈路來設定密碼，再回車，然後鍵入 password *** ，到這一步才是真正的設定密碼了，最後設定一個強一點的密碼。 再一次用計算的 TELNET 命令登入交換機，這次發現不會提示英文了，而是出現需要輸入密碼的對話，鍵入密碼回車後，是不是發現與CONSOLE線登入一樣呢？好了，遠端登入到這裡就講解完畢。 五、交換機的實用技巧 1、為了加強交換機的安全因素，我們還可以給它加一個密碼，即控制口密碼（CONSOLE PASSWORD）。這個密碼需要在進入交換機作業系統時輸入，即如果沒有此密碼，連使用者模式都無法進去。而我們設的明文、密文密碼是在使用者模式進入特權模式時才被要求輸入的。 怎樣設這個控制口密碼呢？如同設定 VLAN 埠的密碼一樣，我們需要在全域性模式下鍵入 line console 0 後回車（注意是零不是歐，console 口的預設埠號為零），接下來鍵入 login ，登入到這個埠上，回車；然後鍵入 password **** 即可設定。設定完成後退回到特權模式下，用 show run 命令檢視當前配置資訊，可以看到 console 口的密碼已經被設定。 2、現在我們已經介紹了四種密碼——明文、密文密碼；console 口密碼；vlan 密碼。但是這其中除了密文密碼是加密顯示外，其它的都是以未加密的原始狀態呈現，這也十分不安全，我們有沒有辦法給這些未加密的密碼加密一下呢？回答是肯定的。可以使用一個密碼的加密服務——service password-encryption 。 在全域性模式下鍵入 service password-encryption 命令後回車，再回到特權模式下用 show run 檢視一下，是不是所有的密碼都以加密的形式呈現呢？如果不喜歡這種方式，我們可以取消密碼加密（密文密碼除外）。方法是在全域性模式下鍵入 no service password-encryption ，即在剛才那條命令前加個 no 即可。同理，其它很多命令也是如此，如果想取消某個命令，在前面加 no 即可。如 shutdown--no shutdown （注：某些版本的交換機受到作業系統版本的限制，一旦設定密碼為加密形式就不能再改回到不加密的狀態了。） 3、交換機其它的一些命令 我們知道了從使用者模式進入特權模式用 enable 或 en 命令，從特權模式進入到全域性模式用 config terminal 或 conf t 命令，從全域性模式進入某個介面用 interface ***（***為某個介面，在交換機中一般是 F0/？，？是具體的埠號，如2埠就是0/2，這裡的0代表的是交換機的第一個模組，計算機中常0來代表第一個，而0/2的含義就是第一個模組上的第二個介面，這個可以在特權模式下用 show ip interface brief 命令來檢視交換機共有幾個介面各叫什麼名字；而這裡的F代表的就是Fastethernet [快速乙太網，即百兆網路]，是它的簡寫。）。既然進入這麼多層了，那怎麼退出呢？可以用 exit 或 end 命令，注意這兩個命令退出的方式是不一樣的，exit 是逐級退出，即從介面模式退回到全域性，再從全域性退回到特權，從特權退回到使用者，甚至可以從使用者模式退出到未登入的狀態；而 end 命令則是跨級退出，無論你在全域性模式還是在介面模式，一下就退回到特權模式，但是它不能退回到別的狀態，即終點只能是特權模式。 4、給交換機設定閘道器、DNS伺服器。 為什麼要給交換機設定閘道器呢？首先要了解一下閘道器是什麼。 如果在同一網段內，計算機之間互訪中需要有一個 MAC 地址即可，如果要想訪問別的網段，就要通過路由器走出這個網段去訪問別的網段，這個關口就是閘道器。如同一個教室的一個同學想要去另一個教室訪問另一個同學，他必須走出這個教室的門一樣，那麼這個門就對應於閘道器。 給交換機設定閘道器其實與接在它埠上的計算機是沒有任何關係的，設定的目的只在於將來查錯時把交換機當成一臺計算機來與其它網段的網路裝置相 PING ，縮小網路中故障的範圍。 同理，給它設定DNS（域名服務）也是沒有什麼實際意義的，與連線在它身上的計算機沒有任何關係。目的只是為了查錯時縮小故障範圍，因為此時也可以把它當成一臺計算機來 PING 某一個公網地址或域名，如果能 PING 通，則表示至少從交換機到外網是通暢的，如果連線在它身上的計算機此時不能 PING 通，那麼故障範圍只限定於交換機到計算機之間了。 設定方法：首先進入全域性模式，設定閘道器鍵入 ip default-gateway ***.***.***.*** 即可，當然一定要設定成真實的閘道器地址，不然是不起作用的。設定DNS 服務鍵入 ip name-server ***.***.***.*** ，也是一定要鍵入當地的域名伺服器地址，如北京為 200.106.0.20 。 5、實用命令： 特權模式下的命令： show running-config (show run) 檢視當前執行配置資訊，括號內為簡寫。 show run interface *** 檢視某個介面的詳細資訊，包括介面的描述。 show interface *** 檢視某個介面的具體配置和統計資訊，包括此介面的鏈路狀態。 show startup-config (show start) 檢視 FLASH 中的 config.text 配置檔案（文字檔案），括號內為簡寫。 show ip interface brief 檢視所有介面狀態資訊，介面是否開啟從這裡能看出。 show version 檢視系統版本資訊。 show cdp 顯示了裝置的 CDP 全域性資訊，CDP 是 CISCO （思科） 發現協議，它主要用於管理員獲得與交換機所連網路裝置的資訊。 show cdp interface *** 顯示了交換機 *** 介面的 CDP 配置資訊，可以檢視到此介面的開啟狀態。 show cdp traffic 顯示了有關 CDP 包的統計資訊，可以檢視其傳送和接收資料 CDP 包的公告數。 show cdp neighbors 以簡潔形式列出與本交換機連線的相鄰裝置，包括相鄰裝置的名稱、本地介面、保持時間、相鄰裝置代號 （S 為交換機、R 為路由器）、裝置硬體平臺、對方介面等資訊。 show cdp entry * 顯示所有介面相鄰裝置的詳細資訊。 show cdp neighbors detail 功能同上。 write memory (wr) 儲存當前 RAM 中的配置到 FLASH 中。括號中為簡寫。 copy running-config startup-config (copy run start) 功能同上，括號內為簡寫。 erase startup-config 刪除 FLASH 中的 config.text 檔案，即恢復出廠預設狀態。 reload 重新啟動。 show mac-address-table 檢視交換機的 MAC 地址表。 全域性模式下的命令： hostname *** 配置提示符前的主機名為 *** 。 password *** 配置明文密碼為 *** 。 secret *** 配置密文密碼為 *** 。 ip address ***.***.***.*** 設定交換機的 IP 地址，注意此地址是為 VLAN 所設，用於遠端管理。 ip default-gateway ***.***.***.*** 設定交換機的預設閘道器，主要用於排錯，與其它連線裝置無關。 ip name-server ***.***.***.*** 設定交換機的 DNS 伺服器地址，用途同上。 介面模式下的命令： description ***** 將此介面作一個標識。如：description BOSS ，我們就知道這個介面是老闆專用的，切記不要亂動啊！！！呵呵！（注：介面描述可用 show run 命令檢視，注意每一個介面下方的文字描述即可。） shutdown 關閉此介面，即此介面連線的裝置不能與其它介面的裝置通訊，預設狀態下交換機的每個物理介面均是開啟狀態。如果關閉的是與路由器連線的介面，那麼不好意思了，所有內網的主機均不能訪問外網了。取消為 no shutdown 。  

duplex *** 設定介面的雙工模式為全雙工還是半雙工。預設狀態下交換機的雙工模式為自動，即自動與對方相匹配。可以設定的項為 auto (自動)、full (強制為全雙工)、half (強制為半雙工)。