这种事说实话不少见。设备上了线，密码交接没做好，过了几个月新人接手，登录一看密码不对，打不开。最坏的情况是连console口都进不去，设备又不能断电重启——密码恢复就是解决这个问题的。

华为设备的密码恢复和思科略有不同，不需要改寄存器值，但也有几步要走。

断电重启进BootROM

第一步：重启设备，在出现启动信息时迅速按 Ctrl+B 进入BootROM菜单。时机要准，按得太晚就进了系统，按得太早可能还没到提示界面。一般看到"Press Ctrl+B to enter BootROM menu"的时候就要按了，多试几次就有感觉了。

进入BootROM菜单后，默认密码一般是 Admin@huawei 或者 9300（不同设备型号可能不同，看设备文档或者问一下华为技术支持）。进去之后选"7. Modify password"可以清掉密码。

不过，这个选项只能清console口密码，SSH/Telnet的密码要另外处理。

清空密码后的配置

通过BootROM清空密码后，系统启动时会提示设置新密码。如果是清空了console密码，可以直接用空密码登录console（有些版本会直接进入系统），然后重新配置用户名和密码：

sysname Router aaa local-user admin password irreversible-cipher <加密后的密码> local-user admin service-type http ssh telnet

对于SSH登录，如果之前配置了RSA密钥或者AAA认证，清空密码后可能会影响SSH登录。清空密码后建议先测试console口登录正常，再配置新密码。

备份配置

每次改动密码之前，习惯性地备份一下配置文件是个好习惯：

save ftp 192.168.1.100 # 或者用其他方式把配置文件传出来

这样即使忘了密码，也可以通过BootROM加载之前的配置文件（记得选"6. Modify bootrom password"或者通过U盘加载），不需要重配整台设备。

注意事项

密码恢复需要在物理机房或者通过console口操作，没办法远程完成。如果是生产环境的设备，密码恢复期间服务会中断（虽然只是重启一次，但最好选在业务低峰期）。

另外，如果设备启用了BMA（登录控制）或者限制console口访问，密码恢复后要检查相关配置是否还在——有些安全配置可能也会一并清空。