Sie können Paketlängen verwenden, um voneinander zu unterscheiden. Es besteht jedoch das Risiko, dass diese vom SSH-Transport zerhackt und gemischt werden.
class-map match-all ssh-interactive
match access-group name ssh
match packet length max 600
class-map match-all ssh-files
match access-group name ssh
match packet length min 600
ip access-list extended ssh
permit tcp any any eq 22
permit tcp any eq 22 any
Der Grenzwert wird willkürlich aus dieser Luft herausgesucht, Sie müssten abstimmen und sehen, was für Sie funktioniert.
Die meisten (mindestens alle? OpenSSH) SSH-Implementierungen setzen unterschiedliche IP-TOS-Flags, je nachdem, ob es sich bei der Sitzung um interaktive oder Massendaten handelt. Es setzt das Low-Delay-TOS-Flag für interaktive Sitzungen.
Sie können dann die TOS-Flags in Ihrer ACL abgleichen.
Dies ist wirklich nicht möglich - beide arbeiten am selben Port und beide kapseln ihren Datenverkehr in einem verschlüsselten (und optional komprimierten) Stream. Es kann eine Möglichkeit für ein DPI-System geben, zu erraten, welcher Stream eine "Standard" -Terminal-SSH-Sitzung und welcher eine SCP-Sitzung ist, aber das wäre bestenfalls eine wilde Vermutung.
Nun, ich stimme ErikA in den technischen Details zu, ich bin (teilweise) anderer Meinung, dass dies nicht möglich ist. Sie können mehrere SSH-Dämonen an verschiedenen Ports ausführen und die Priorisierung basierend auf Ports. Hier ist ein Blog-Beitrag dazu.
Von dort aus benötigen Sie für jeden SSH-Daemon unterschiedliche Anmeldeinformationen (nicht sicher, wie dies zu tun ist, aber ich wette, Sie können dies), es sei denn, Sie vertrauen Ihren Benutzern bei der Auswahl. Eine andere Möglichkeit wäre, die SSH-Sitzung nur von bestimmten IPs aus zuzulassen.