Вообще странное поведение. Трафик вроде небольшой для VPN-а. А можете на один график вывести загрузку ЦПУ и трафик бэкапа. Чтобы можно было оценить взаимосвязь?

Первое, с чего бы я начал, это проверил, что проц. грузит именно IPSec. График здесь поможет. Плюс попробуйте снизить сложность алгоритмов шифрования (например с AES256 на AES128). Очень интересно, отразится ли это на загрузке ЦПУ.

То, что грузит именно трафик бэкапа, это 100% информация, так как  сначала его вывел с помощью Netflow, потом неоднократно запускали бэкапы и одновременно следил за нагрузкой на ЧП. как только шел бэкап возникала высокая нагрузка. В CPVIEW:

Можно было увидеть, что самое нагруженное соединение по CPU было именно по бэкапу.

По поводу набора шифрования

График трафика

График с ЧП по шифрованному трафику:

Могу сказать, что ранее проводились тестирования по пропускной способности туннеля между 540(R80.10) и 4200(R77.10), были отключены все блейды, пропускная способность была в среднем 163 Мбит/с и при этом R77.30 грузилось полностью, а на R80.10 средняя загрузка ЦП была 50%.

Пока из идей отключить Application Control Blade и посмотреть как будет ситуация, если ситуация не изменится, то это проблема. Если поможет, то нужно будет оключить для соединения бэкапа AC blade.

Блэйд APC не отключал. Воспользовался sk94484. Там говорится о том, что если хост не попадает в application rules, то трафик проходит через Implicit Cleanup правило и будет аксселирироваться через SAM.

Matched rules

FWACCEL CONNS во время бэкапа:

Из вывода можно сказать, что бэкап делается в несколько потоков, поэтому нагрузка должна распределяться между ядрами и соединения с использованием tcp/902 не ускоряются и проходят по Medium Path(PXL), но я думаю, что это из-за шифрования трафика.

Для понимая скорости Site-to-Site VPN бэкапа:

Еще раз картинка с CPU: