Cisco IOS QoS priorisiert SSH, nicht jedoch SCP

7

Wie kann ich den SSH-Verkehr priorisieren, um eine geringe Latenz zu gewährleisten, aber die SCP-Dateiübertragung zu drosseln? Ich suche nach einer Lösung, die nicht hostspezifisch ist, damit ich keine Listen mit IP-Adressen hinzufügen muss. Vielen Dank!

verstricken
quelle

Antworten:

5

Sie können Paketlängen verwenden, um voneinander zu unterscheiden. Es besteht jedoch das Risiko, dass diese vom SSH-Transport zerhackt und gemischt werden.

class-map match-all ssh-interactive
 match access-group name ssh
 match packet length max 600
class-map match-all ssh-files
 match access-group name ssh
 match packet length min 600 
ip access-list extended ssh
 permit tcp any any eq 22
 permit tcp any eq 22 any

Der Grenzwert wird willkürlich aus dieser Luft herausgesucht, Sie müssten abstimmen und sehen, was für Sie funktioniert.

Vatine
quelle
10

Die meisten (mindestens alle? OpenSSH) SSH-Implementierungen setzen unterschiedliche IP-TOS-Flags, je nachdem, ob es sich bei der Sitzung um interaktive oder Massendaten handelt. Es setzt das Low-Delay-TOS-Flag für interaktive Sitzungen.

Sie können dann die TOS-Flags in Ihrer ACL abgleichen.

James
quelle
0

Dies ist wirklich nicht möglich - beide arbeiten am selben Port und beide kapseln ihren Datenverkehr in einem verschlüsselten (und optional komprimierten) Stream. Es kann eine Möglichkeit für ein DPI-System geben, zu erraten, welcher Stream eine "Standard" -Terminal-SSH-Sitzung und welcher eine SCP-Sitzung ist, aber das wäre bestenfalls eine wilde Vermutung.

EEAA
quelle
0

Nun, ich stimme ErikA in den technischen Details zu, ich bin (teilweise) anderer Meinung, dass dies nicht möglich ist. Sie können mehrere SSH-Dämonen an verschiedenen Ports ausführen und die Priorisierung basierend auf Ports. Hier ist ein Blog-Beitrag dazu.

Von dort aus benötigen Sie für jeden SSH-Daemon unterschiedliche Anmeldeinformationen (nicht sicher, wie dies zu tun ist, aber ich wette, Sie können dies), es sei denn, Sie vertrauen Ihren Benutzern bei der Auswahl. Eine andere Möglichkeit wäre, die SSH-Sitzung nur von bestimmten IPs aus zuzulassen.

Kyle Brandt
quelle