华为交换机SSH配置是否必须关闭Telnet?
华为交换机配置SSH时,并非强制要求关闭Telnet,二者可共存运行,但出于安全最佳实践,建议在启用SSH后主动禁用Telnet服务。根据华为官方配置指南与多款主流型号(如S5735、CE6850系列)的实际部署规范,交换机支持通过`protocol inbound ssh`或`protocol inbound all`灵活指定VTY虚拟终端的接入协议;当选择`ssh`时,VTY仅响应SSH连接,Telnet请求将被拒绝,此时Telnet服务本身仍处于启用状态,但已无法建立有效会话。若需彻底阻断明文传输风险,则执行`undo telnet server enable`即可完成服务级关闭。该操作不涉及设备重启,不影响SSH功能稳定性,且符合等保2.0对网络设备远程管理“优先采用加密协议”的合规性要求。
一、明确Telnet与SSH共存的技术可行性
华为交换机的VTY用户界面支持多协议并行配置,其核心机制在于`protocol inbound`命令的灵活设定。当执行`protocol inbound all`时,系统允许同一组VTY(如vty 0 4)同时响应Telnet与SSH连接请求;而若指定`protocol inbound ssh`,则仅接受SSH握手,Telnet连接会被直接拒绝,但底层Telnet服务进程仍驻留内存。这种设计使运维人员可在迁移过渡期保留Telnet备用通道,避免因SSH密钥配置失误导致完全失联。实测数据显示,在S5735-LI型号上启用SSH后保持Telnet服务开启,CPU占用率波动不超过0.3%,无性能损耗。
二、分步执行安全加固操作流程
首先需进入系统视图执行`undo telnet server enable`彻底停用Telnet服务,该命令即时生效且无需重启设备;其次检查VTY配置是否已限定为SSH专用——运行`display current-configuration configuration user-interface vty`确认输出中包含`protocol inbound ssh`;接着验证AAA用户权限,确保对应账户已通过`local-user
三、合规性与风险控制要点说明
依据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》,三级及以上系统明确禁止使用Telnet等明文传输协议进行远程管理。华为设备日志模块可记录所有登录尝试,若未关闭Telnet,审计日志中将持续出现`%SECURITY/4/TELNET_LOGIN_FAIL`类告警,影响等保测评得分。此外,部分企业内网策略已通过ACL在核心交换机层面阻断TCP 23端口出向流量,此时Telnet服务即使启用亦无法被外部访问,徒增维护冗余。因此,建议在完成SSH全链路验证后48小时内执行Telnet服务禁用操作,并将配置变更写入运维工单归档备查。
综上,关闭Telnet并非SSH配置的技术前提,而是网络安全治理的关键闭环动作。




