O QoS do Cisco IOS prioriza o SSH, mas não o SCP

Você pode usar comprimentos de pacote para diferenciar um do outro, mas há o risco de que eles sejam cortados e misturados pelo transporte SSH.

class-map match-all ssh-interactive
 match access-group name ssh
 match packet length max 600
class-map match-all ssh-files
 match access-group name ssh
 match packet length min 600 
ip access-list extended ssh
 permit tcp any any eq 22
 permit tcp any eq 22 any

O ponto de corte é escolhido arbitrariamente deste ar, você teria que ajustar e ver o que funciona para você.

A maioria (todas, pelo menos, o OpenSSH) de implementações SSH definem diferentes flags TOS IP, dependendo de a sessão ser de dados interativos ou em massa. Ele define a bandeira TOS lowdelay para sessões interativas.

Você pode então combinar nos flags TOS na sua ACL.

Isso realmente não é possível - ambos operam na mesma porta e ambos encapsulam seu tráfego dentro de um fluxo criptografado (e opcionalmente compactado). pode ser uma forma de um sistema DPI adivinhar qual fluxo é uma sessão ssh de terminal "padrão" e que é uma sessão SCP, mas isso seria um palpite, na melhor das hipóteses.

Bem, eu concordo com ErikA sobre os detalhes técnicos, eu (parcialmente) discordo que isso não é possível. Você pode executar vários daemons ssh em portas diferentes e priorizar com base nas portas. Aqui está uma postagem do blog em como fazer isso.

De lá, você precisará de credenciais diferentes para cada daemon ssh (não sabe como fazer isso, mas aposto que pode), a menos que você confie em seus usuários para escolher. Outra opção seria permitir apenas a sessão ssh de certos IPs.