ギガ得プランでRTX1200を使い始めて一ヶ月くらい経ちました。アクセス数やトラッフィクも徐々に増えていき、RTX1200のCPU使用率が90%を超えるようになってきました。
現在の状況は以下のような感じです。

PV => 30万〜40万
全体のHTTPリクエストの数 => 1000万
トラフィック => 80Mbps

HTTPリクエストのうち8〜9割が、300系のリダイレクトなのでこれがかなり無駄してそうです。

まずは、RTX1200の設定から見直してみることにしました。こんな感じでNAPT(静的マスカレード)を使っていました。

回線は、ひかりoneとフレッツを使っています
192.168.99.1 => HGW
192.168.100.2 => サーバ1
192.168.101.2 => サーバ2

ip route default gateway pp 1 filter 1001 gateway 192.168.99.1 filter 1002
lan type lan1 auto port-based-option=divide-network
ip vlan1 address 192.168.100.1/24
ip vlan2 address 192.168.101.1/24
ip lan3 address 192.168.99.2/24
ip lan3 nat descriptor 2
pp select 1
 pp always-on on
 pppoe use lan2
 pppoe auto connect on
 pp auth accept pap chap
 pp auth myname プロバイダのID パスワード
 ppp lcp mru on 1454
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
ip filter 1001 pass 192.168.100.0/24 * * * *
ip filter 1002 pass 192.168.101.0/24 * * * *
nat descriptor address outer 1 グローバルIPアドレス
nat descriptor address inner 1 192.168.100.1-192.168.100.2
nat descriptor masquerade static 1 1 192.168.100.2 tcp www
nat descriptor masquerade static 1 2 192.168.100.2 tcp 22
nat descriptor masquerade static 1 3 192.168.100.1 udp snmp
nat descriptor masquerade static 1 4 192.168.100.2 tcp ftpdata,21
nat descriptor masquerade static 1 5 192.168.100.2 udp 10161
nat descriptor type 2 masquerade
nat descriptor address outer 2 192.168.99.2
nat descriptor address inner 2 192.168.101.2
nat descriptor masquerade static 2 1 192.168.101.2 tcp www
nat descriptor masquerade static 2 2 192.168.101.2 tcp 22
nat descriptor masquerade static 2 3 192.168.101.2 udp snmp
nat descriptor masquerade static 2 4 192.168.101.2 icmp

NAPTを使っていたのは、ローカル間で通信するのでローカルIPアドレスを振っていたほうがいいと思ったのと、必要なポートのみ解放しておいたほうが安全と思ったためです。

負荷の原因を考えてみて、NAPTの負荷が高いのではと思い、NAPTを使わない方法で考えました。
192.168.50.0/24のネットワークが増えたのは、マスカレードの設定をはずしたため、RTX1200へのSNMPに接続できなくなったためです。今回は監視サーバがあるルータと、ローカルルーティングして対応しました。

ip route default gateway pp 1 filter 1001 gateway 192.168.99.1 filter 1002
ip route 192.168.10.0/24 gateway 192.168.50.2
lan type lan1 auto port-based-option=divide-network
ip vlan1 address グローバルIPアドレス/24
ip vlan2 address 192.168.101.1/24
ip vlan5 address 192.168.50.1/24
ip vlan5 secure filter in 1101 1102
ip vlan5 secure filter out 1201 1202
ip lan3 address 192.168.99.2/24
ip lan3 nat descriptor 1
pp select 1
 pp always-on on
 pppoe use lan2
 pppoe auto connect on
 pp auth accept pap chap
 pp auth myname プロバイダのID パスワード
 ppp lcp mru on 1454
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 pp enable 1
ip filter 1001 pass グローバルIPアドレス/32 * * * *
ip filter 1002 pass 192.168.101.0/24 * * * *
ip filter 1101 pass 192.168.10.2 192.168.50.1 icmp
ip filter 1102 pass 192.168.10.2 192.168.50.1 udp * snmp
ip filter 1201 pass 192.168.50.1 192.168.10.2 icmp
ip filter 1202 pass 192.168.50.1 192.168.10.2 udp snmp *
nat descriptor type 1 nat
nat descriptor address outer 1 192.168.99.2
nat descriptor address inner 1 192.168.101.2
nat descriptor static 1 1 192.168.99.2=192.168.101.2 1
syslog notice off
snmp host 192.168.10.2 public
snmp yrifppdisplayatmib2 on

サーバ2にHGWの192.168.99.0/24のネットワークのIPアドレスを直接振りたかったのですが、やり方が分からず静的NATを使うことにしました。ルーティングの設定をしてやればよかったのかな？
そもそも、RTX1200を経由させる必要もない気もします。

効果はあまり実感できなかったのですが、CPU使用率は80%くらいになりました。1〜2割くらいよくなった感じでしょうか。思ったより負荷に弱いのか、僕の設定が悪いのか・・・。

参考
異なるセグメント間のLANのルータ設定 − Master of IP Network − ＠IT

FAQ for YAMAHA RT Series / IP Packet Filter