昨晚加班到凌晨两点，公司核心交换机突然连不上了。

心里咯噔一下，冷汗都下来了。

平时觉得telnet挺方便，真出了毛病，那叫一个抓狂。

屏幕上一行红字：Connection refused。

翻译过来就是：拒绝链接。

很多新手遇到这情况，第一反应是网线拔了重插，或者重启交换机。

别傻了，这招没用。

我当初也是这么干的，折腾了半小时，结果还是连不上。

后来冷静下来，翻了翻之前的配置笔记，才发现是几个低级错误搞的鬼。

今天就把这些血泪经验写出来，希望能帮兄弟们少掉点头发。

首先，你得确认交换机本身活着。

ping一下网关，如果ping不通，那可能是网络层的问题，跟telnet服务没关系。

如果ping得通，但就是telnet连不上，那问题大概率出在配置上。

最常见的坑，就是没开vty线路。

很多小白配置完IP地址，就以为万事大吉。

其实，交换机默认状态下，vty线路可能是关闭的，或者没允许telnet协议。

你需要进线路配置模式。

比如：

line vty 0 4

然后输入：

transport input telnet

这一步特别关键。

如果不加这句，交换机根本不会监听telnet请求。

这就好比你在门口挂了个牌子说“欢迎光临”，但门却是锁死的。

客人怎么进得来？

其次，检查访问控制列表（ACL）。

公司网络复杂，安全策略多。

有时候管理员为了安全，会在接口或者全局应用了ACL。

如果ACL里没放行TCP 23端口，或者没放行你的管理IP段，那肯定被拒。

我上次就是忘了加permit语句，结果整个网段都连不上。

查日志才发现，原来有个新的ACL规则把旧规则给覆盖了。

这种隐形坑，最让人头疼。

再一个，就是密码或者认证问题。

虽然telnet本身不加密，但交换机可以配置本地用户认证。

如果你改了用户名或密码，而客户端没更新，那也会报错。

不过，通常密码错误会提示“Authentication failed”，而不是“Connection refused”。

所以，如果看到“拒绝链接”，多半是服务没开，或者被防火墙/ACL拦了。

还有一个容易被忽视的点，就是交换机型号和IOS版本。

有些老型号的交换机，或者精简版的IOS，可能不支持telnet，只支持SSH。

现在安全要求高了，很多新设备默认禁用telnet，强制用SSH。

如果你还在用telnet，那肯定连不上。

这时候，你得看看能不能用SSH试试。

如果SSH也连不上，那再回头查telnet配置。

我遇到过一次，同事升级了IOS，结果telnet服务被默认关闭。

他找了我半天，我一看配置，发现vty线路里transport input只写了ssh。

这就很尴尬了，明明想开telnet，结果配置写反了。

所以，排查问题要有逻辑。

先通不通，再查服务，最后看权限。

别一上来就重装系统，那是最后的手段。

另外，提醒一句，telnet真的不安全。

数据明文传输，抓个包就能看到密码。

现在正规企业，基本都淘汰telnet了，改用SSH。

如果你还在用telnet，建议尽快迁移。

毕竟，安全无小事。

万一被黑客截获了密码，那后果不堪设想。

当然，如果是在内网测试环境，或者临时调试，用用也无妨。

但千万别在生产环境裸奔。

最后，总结一下。

遇到telnet交换机拒绝链接，别慌。

先ping，再查vty线路，接着看ACL，最后看IOS版本。

一步步来，总能找到原因。

希望这篇经验贴，能帮你在深夜里少熬点夜。

毕竟，头发掉了，可就长不回来了。

（注：以上案例均为真实经历，如有雷同，纯属巧合。记得备份配置再修改，不然哭都来不及。）