Привет! Мы небольшая интернет-провайдер, у нас около 1000 пользователей, стоящих за разными RB1100AHx2, которые все подключены через оптоволокно к CCR1036. Каждый RB1100AHx2 выступает в роли BRAS с PPPoE-сервером для клиентов, маскируя публичный IP, который находится на каждом из RB1100AHx2. CCR1036 — это шлюз по умолчанию для всех этих RB1100AHx2 в публичных подсетях 41.x.x.1/25 (мы разделили их на несколько /29 и одну /26). На стороне канала связи CCR1036 имеет один публичный IP в подсети /29. Таким образом, CCR1036 выполняет базовую маршрутизацию IPv4. Без протоколов маршрутизации, без маскирования, без очередей — по сути, просто ванильный CCR1036, маршрутизирующий IPv4 между двумя публичными IP. И два правила фильтра, которые предотвращают вход в CCR1036 на любом из этих интерфейсов, если он не идет от нашего собственного IP-адреса для управления — чтобы никто не мог напрямую подключиться к CCR1036. Сейчас CCR1036 работает быстро, пока нагрузка низкая, но когда нагрузка возрастает и превышает 15 Мбит/с, HTTPS-страницы, порт SSL 443 становятся очень медленными. Когда нагрузка от наших пользователей достигает 60 Мбит/с, загрузка HTTPS-сайта, например банковского веб-сайта, может занимать до 16 секунд. И это происходит случайным образом, но похоже, что это следует за нагрузкой. В ранние вечерние часы, когда нагрузка наибольшая, отклик на любом https-сайте — суперочень медленный. Итак, у нас есть: Upstream bulk ISP Cisco Public IP ↔ CCR1036 IPv4 статическая маршрутизация ↔ волоконная линия ↔ Public IP RB1100AHx2 ↔ PPPoE-клиент в частном пуле. MTU на интерфейсах по умолчанию. MTU на PPPoE-серверах клиентов — 1492. Мы используем ROS 6.7 на CCR1036. CPU загружен на 0%. RAM свободно 3,5 ГБ из 4 ГБ. Так что это не ресурсы? В разделе «Подключения» отображается около 2000 элементов из 17000, а Max entries 475264. Какие у вас есть мысли? CCR1036 должен справляться с этим? У кого-нибудь еще есть проблемы с HTTPS или SSL-маршрутизацией на нем?
