问题1：usg6655e对接新华三3a认证服务器，服务器显示登录“成功”，但设备侧实际提示登录失败并提示“user password authentication failed”
问题1.1：ssh协商算法不匹配
问题1.2：算法匹配并通过ssh认证，但仍无法正常远程设备
问题2：usg6655e对接新华三3a认证服务器，accounting状态down
步骤1：ping测试到新华三3a认证服务器，测试连通性
步骤2：debugging ssh server all all
-debuging提示报错failedreason=failed to negotiate the key exchange algorithm
-usg6655e版本为v600r007c20spc100，不支持弱算法，新华三3a认证服务器同usg6655e协商算法时无法协商成功，导致ssh2登录失败
步骤3：下载弱算法并上传加载弱算法包，同时将所有算法都加上
至此，ssh无法登录问题已成功解决，并用电脑端远程工具可正常ssh登录设备。
但新华三3a服务器测试时，仍无法解决问题，故障现象依旧为3a认证服务器界面显示登录“成功”，但usg6655e侧提示认证密码失败
步骤4：使用电脑端远程工具ssh登录usg6655e，使用账号为3a服务器侧创建的测试账号密码
-发现界面提示被远端cutting，即认证通过但审计失败。
-usg6655e因审计失败，所以将该测试用户踢出登录状态
步骤5：通过命令查看到accounting状态
步骤6：usg6655e五元组抓包
-发现usg6655e由于后台诊断日志需求，周期性完3a服务器发送cmd=display命令，并携带默认账户_system_
-3a服务器发现该用户并不存在，于是给usg6655e回复“user does not exist”
-usg6655e收到后，将accounting状态置为down状态，如果不配置accounting start-fail online，此时登录用户将被踢出在线
-定位为已知问题，需升级版本解决
根因
根因1：usg6655e版本v600r007c20spc100不支持弱算法，在和新华三3a服务器协商密码算法时失败导致无法登录
根因2：由于usg6655e到新华三3a认证服务器accounting审计异常，导致测试账户在ssh认证成功后仍被踢出登录设备
根因3：已知故障，usg6655e由于后台日志审计原因，需周期性发送display命令到3a服务器进行审计，并携带账户_system_
解决方案
针对根因1：下载弱算法包，并在设备侧加载，同时配上所有算法
步骤1：加载弱算法包
加载弱算法包步骤
这是加载弱算法的产品手册指导可以不用看。看这个 本地加载弱安全算法组件包方法：
1、访问华为技术支持网站，在软件下载专区选择对应的产品节点。
2、选择需要的软件版本。
3、单击软件版本对应的product_version_weakea.mod文件右侧的“下载”按钮进行下载。 请注意系统软件版本和组件包版本的配套关系，不配套的组件包无法加载成功。
4、将组件包上传至设备根目录的“$_install_mod”文件夹下。 5、执行命令install-module filename [ next-startup ]，加载当前系统启动或下次系统启动的组件包。
步骤2：配上所有算法
ssh server hmac sha2_256 md5 md5_96 sha1 sha1_96 sha2_256_96
ssh server cipher aes128_ctr aes128_cbc aes256_cbc aes256_ctr 3des_cbc des_cbc
ssh server key-exchange dh_group14_sha1 dh_group14_sha256 dh_group15_sha512 dh_group16_sha512 dh_group1_sha1 dh_group_exchange_sha1 dh_group_exchange_sha256
ssh client cipher 3des_cbc aes128_cbc aes128_ctr aes256_cbc aes256_ctr des_cbc
#
针对根因2：配置 accounting start-fail online，保证即使审计失败，用户以“审计失败”状态保持登录状态
accounting-scheme 【审计模板名称】
accounting-mode hwtacacs
accounting start-fail online
#
针对根因3：需将当前v600r007c20spc100升级至v600r007c20spc300
建议与总结
建议1：后续新建项目涉及对接第三方厂商认证服务器或客户侧网管系统，确认是否是通过弱算法协商秘钥算法。如只能弱算法，建议统一下载弱算法包并在设备侧进行加载，避免由于算法协商失败导致设备无法被纳管或被客户网管跳板机登录
建议2：对接新华三3a服务器由于后台日志会周期性采集信息并做记录，会默认携带_system_到审计服务器，建议将版本升级至v600r007c20spc300