我如何优先考虑sshstream量,以确保低延迟,但节制SCP文件传输? 我正在寻找一个不是主机特定的解决scheme,所以我不必添加IP地址列表。 谢谢!
您可以使用数据包长度来区分彼此,但有可能会被SSH传输混杂在一起。
class-map match-all ssh-interactive match access-group name ssh match packet length max 600 class-map match-all ssh-files match access-group name ssh match packet length min 600 ip access-list extended ssh permit tcp any any eq 22 permit tcp any eq 22 any 截断点是从这个空气任意挑选的,你必须调整,看看什么适合你。
大多数(全部是OpenSSH)SSH实现根据会话是交互式还是批量数据来设置不同的IP TOS标志。 它为交互式会话设置低延迟TOS标志。
然后,您可以匹配ACL中的TOS标志。
这实际上是不可能的 – 两者都在相同的端口上运行,并且将它们的stream量封装在经过encryption(可选压缩)的stream中。 DPI系统可能会猜测什么stream是“标准”terminalssh会话,哪个会话是SCP会话,但这种猜测最多是一个猜测。
那么我同意ErikA的技术细节,我(部分)不同意这是不可能的。 您可以在不同的端口上运行多个ssh守护程序,并根据端口进行优先级sorting。 这里是一个博客文章如何做到这一点。
从那里你将需要不同的凭据每个SSH守护进程(不知道如何做到这一点,但我敢打赌,你可以),除非你相信你的用户select。 另一个select是只允许来自某些IP的ssh会话。