华为交换机配置Telnet登录会保存在配置文件里吗

是的，华为交换机配置Telnet登录时的认证信息会完整保存在设备的启动配置文件（vrpcfg.cfg）中。具体而言，当通过VTY用户界面配置Telnet访问权限时，系统会将协议启用状态、用户级别、验证方式及密码策略一并写入配置；其中密码存储形式取决于命令参数——选用“simple”关键字则以明文形式记录，而采用“cipher”关键字则经AES-256算法加密后存入，该密文不可逆向还原，符合基础网络安全规范。所有配置需执行save命令方可持久化，确保设备重启后仍生效。这一机制既保障了运维可追溯性，也赋予管理员对敏感信息存储形式的明确控制权。

一、明文与密文密码的配置差异及实际影响

在华为交换机命令行中，配置VTY登录密码时必须显式指定存储方式。例如执行“set authentication password simple Huawei@2024”后，通过display current-configuration查看配置文件，可直接看到完整密码字符串；而使用“set authentication password cipher Huawei@2024”，系统会生成一段长度固定、以“%$%$”开头的加密字符串，该字符串由设备本地AES-256引擎实时运算生成，不依赖外部密钥服务器，且无法通过任何内置命令解密还原。根据华为官方文档说明，cipher模式符合《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》中对口令存储的加密强制条款，适用于等保二级及以上部署场景。

二、配置保存与生效的关键操作流程

完成VTY界面配置后，必须依次执行三条指令才能确保Telnet认证信息持久化：首先输入user-interface vty 0 4进入VTY视图并完成协议启用与验证设置；其次执行authentication-mode aaa或authentication-mode password完成验证方式绑定；最后务必键入save命令并确认将当前运行配置写入vrpcfg.cfg启动文件。若仅配置未保存，设备意外断电或重启后所有Telnet访问策略将恢复为出厂默认状态，导致远程管理中断。建议在生产环境中启用配置变更日志功能（info-center enable），以便审计每次save操作的时间戳与操作者账号。

三、安全加固的必要补充措施

除密码加密外，还应同步关闭未使用的VTY通道（如限制vty 0 2仅开放3个并发会话）、配置ACL绑定源IP地址范围，并启用SSH替代Telnet作为首选远程管理协议。华为VRPv8.180及以上版本已支持VTY界面自动超时登出（idle-timeout 5 0）和连续失败登录锁定（login attempt 3 lock-time 300），这些策略均需在VTY视图下单独配置并保存，方能与密码策略共同构成完整的访问控制闭环。

综上，华为交换机对Telnet登录配置的存储具备明确可控性，管理员可通过参数选择、操作流程与辅助策略三重手段，兼顾运维便利性与基础安全合规要求。