День добрый. Возникла потребность/желание передавать между подсетями локалки трафик с дополнительными опциями в ip заголовке пакета (с astralinux, с меткой "2", что бы это ни значило), а он не проходит.

Недолгие размышления привели к тому, что он какого-то лешего (видимо в соответствии с конфигом по умолчанию и, возможно, скрытыми командами) дропается:
#show ip traffic | inc options
723 security failures, 723 bad options, 5031473 with options
(при том, что никаких специальных команд для фильтрации трафика нет, наличие/отсутствие обычного ip acl и разрешающего правила в нем на интерфейсе ни на что не влияет)

Еще более недолгое гугление дало еще один результат результат: если прописать на всех интерфейсах (vlan'ах в моем случае) по дороге ip security ignore-authorities, трафик начинает успешно проходить.
"Но есть один нюанс": загрузка железки (4500 на корпусах, 6500 в ядре) летит в космос (к 100%; в основном процессы Cat4k Mgmt LoPri и IP Input). Причём такое ощущение, не от непосредственно целевого (меченого) трафика, а от всего вообще (загрузка выше там, где в сети больше юзеров). Ощущение такое, как будто вместо асиков трафик начинает обрабатываться на ЦП о,О

Кроме того, при применении команды ip security ignore-authorities на интерфейсе за компанию появлятся/проявляется еще и ip security unclassified genser. Не совсем понятно почему/зачем: эта команда, насколько я понимаю, метит интерфейс как интерфейс, с которого должен идти только неклассифицированный трафик с принадлежностью "genser" (последний параметр видимо принадлежность трафика какой-либо службе - миноборона США/АНБ/etc, что ли; очевидно для наших специальных опций там нет, соответственно возможно проблема дропов состоит как раз в том, что Астра пихает в эту опцию что-то, что не совпадает с ожиданиями циски, ну, либо всё же циска не хочет без дополнительных настроек пропускать ничего помеченного, на всякий случай).

Короче говоря, вопрос в том, как а) сделать, чтобы при активации команд на игнор не грузился проц, или б) пропустить этот трафик с помощью какого-то другого набора команд (при этом не поломав остальной), если это возможно. За любой другой ликбез по теме так же заранее спасибо.

p.s. вариант соединить клиентов туннелями или запихать в один vlan предлагать не нужно, спасибо

Так IP Options, вроде бы, как раз для того и есть, чтобы трафик ходил через процессор (минуя CEF), так как требуется его "более интеллектуальная" обработка, отсюда и рост CPU. Вывод - шлите трафик без опций. Часто администраторы даже блочить такой трафик с опциями стараются. Ну, не с type 2, а вообще в любыми.