asmelnik

На 192.168.1.1 надо прописать маршрут к сети 192.168.20.0/24 через 192.168.1.11
И у всех в сети 192.168.20.0/24 шлюзом должен быть 192.168.20.1
И у Вашего L3 коммутатора, который 192.168.1.11, шлюзом должен быть 192.168.1.1

И да, могут быть на 192.168.1.1 приколы, связанные с icmp redirect...
Т.к. у вас пакет из 192.168.1.0/24 для 192.168.20.0/24 шлюз 192.168.1.1 должен отправить в тот же интерфейс, с которого принял. А в IPv4 на этот счет есть отдельные заморочки.

Такая проблема "рулится" легко.
Итерация 1-- путь запросов в инет:
1) есть ли шлюз у хоста? Доступен ли он?
2) на шлюзе хоста >=2 интерфейса? шлюз "смотрит" в какой интерфейс? Доступен ли щлюз?
3) повторяем 2) для следующего шлюза пока до выхода в инет не дойдем.

Итерация 2 -- путь ответов из инета:
1) знает ли инетовский шлюз, что сеть "хоста" (в вашем случае VLAN20) где-то есть?если нет -- прописываем маршрут, если да -- доступен ли шлюз для этой сети и идем на него.
2) Знает ли следующий шлюз о сети "хоста" (в вашем случае VLAN20)? если нет -- прописываем маршрут, если да -- доступен ли шлюз для этой сети и идем на него. ... повторяем 2), пока не дойдем до самого "хоста"

IP -- он не симметричен, каждый маршрутизатор принимает самостоятельное решение куда отправить пакет исключительно опираясь на адрес назначения (по классике, иное настраивается отдельно для особых случаев).
Есть отдельный путь "туда", и совершенно независимый "обратно", автоматического "туда-обратно" в IP НЕ ПРЕДУСМОТРЕНО от слова "совсем".

Практически любой современный физический интерфейс на компьютере --ПОСЛЕДОВАТЕЛЬНЫЙ: USB, Ethernet (100/1000/2500/5000/10000 Мбит), PON, SATA... (параллельные LPT и IDE(PATA) давно сошли со сцены)
Т.е. сколько физически (Но не логически) интерфейсов вы задействуете, столько и получите одновременных потоков.
При этом если USB -- то это шина, т.е.в каждый момент времени только одно устройство передает данные. И сколько бы вы устройств на одну шину не повесили -- физически это один поток данных.
Если что-то хотите передавать в сеть в реальные 16 или 32 потока -- вам надо соответствующее количество физических интерфейсов.
Но возникает вопрос "зачем"??
Не просто так от параллельных интерфейсов перешли на последовательные :)

Спасибо всем неравнодушным и ответившим по существу проблемы.

Всякое решение плодит новые проблемы.(один из законов Мэрфологии)

Похоже время ответить на вопрос и закрыть тему

Context switch per second (Linux) 1.3млн это много или мало?
Если коротко — это для конфигурации
E5-2699v4 — 2шт
RAM 378Gb
Довольно много, но не предел.
Достигнутый максимум 1.5 млн.
Достигнут был при следующих условиях:
Совет от edo1h,

1. mitigations=off, это снизит стоимость переключения контекста;
2. «Зажал» бы частоту процессора и отключил всякие c3, энергосберегающие опции плохо совместимы с короткими запросами.
processor.max_cstate=1 intel_idle.max_cstate=1 к параметрам ядра, плюс поставить pstate-frequency и запустить pstate-frequency -p max (если помогло, то в systemd включаем pstate-frequency@max)

Дал направление копания, итоговый набор параметров ядра совпал с советом выше.
mitigations=off intel_idle.max_cstate=1 processor.max_cstate=1

Замечания jcmvbkbc, res2001, Everything_is_bad натолкнули на мысль разделить задачи сервера на более-менее автономные блоки и исследовать как по отдельности, так и взаимосвязи между ними.

Результат оказался для меня неожиданным (об этом в п.3)

1. Сеть
Тюнинг сетевой подсистемы дал снижение количества прерываний/сек (не слишком значительное, но это положительным образом сказалось на результатах).
Убрал bonding интерфейсов (выигрыш на уровне погрешностей измерения, но иногда(хоть и крайне редко) при работающем bonding наблюдались всплески interrupts, которые полностью отсутствовали при выключенном bonding в течении 4-х дней)
Максимальный размер буферов на адаптере.
Воспользовался tuned + корректировка параметров sysctl.
Профиль network-latency субъективно подошел лучше всего.

2. Работа nginx-а
Тут дало положительный эффект запуск 2-х независимых серверов на 2-х dummy интерфейсах. Не могу пока предположить с чем связано.

3. Неожиданный эффект — т.к. логирование таки необходимо, довольно много сливалось в rsyslog по unix.socket (сеть не вариант, нагрузка выше заметно)
Вот отказ от заливки логов nginx-а в rsyslog снял 75-76% (С 1.3млн до 0.3млн на пиках нагрузки) количества «Context switch per second».
Буквально «на коленке» на python написал заменитель, вся задача — сообщение из unix.socket записать в файл в нужном формате.

Итог, сервер выполняет те же функций:
«Context switch per second» -- снизился на 50% от исходного.
Нагрузка на CPU — снижение примерно на 25-30%.
При тех нагрузках, при которых ранее появлялись отказы, отказов нет.

На работе мой пк подключен к датчику через патчкорд. Адрес пк в сети 10.49.210.30, маска 255.255.0.0. Сам датчик пингуется по адресу 10.49.23.1

Решение 1.
а) На датчике должен быть прописан "шлюз" для сети 10.7.0.0/24 (или шлюз по умолчанию), и этот "шлюз" должен быть ваш рабочий ПК 10.49.210.30. (без этого никак)
б) На рабочем ПК разрешить маршрутизацию IP пакетов (как-то такhttps://remont-comp-pomosh.ru/otvet_mastera/vopros-otvet/v... )
в)

На рабочем пк интерфейс с адресом 10.7.0.2 и я установил разрешенные адреса только 10.7.0.0/24,

это ошибка, убрать. Вам с домашнего ПК на этот интерфейс будут приходить пакеты для датчика с ip 10.49.23.1, а вы их запретили.
г)

На рабочем пк route add 10.49.23.0 mask 255.255.255.0 10.7.0.3

УБРАТЬ
На Домашнем ПК "route add 10.49.0.0 mask 255.255.0.0 10.7.0.2"
Маршрутизация работает только по адресу назначения, а не по источнику (по источнику тоже можно, но это явно не ваш уровень)
Когда с Домашнего ПК начнет пинговаться ip 10.49.210.30 (рабочего ПК) тогда можно продолжить искать что не так.

Решение 2:
a)

На рабочем пк route add 10.49.23.0 mask 255.255.255.0 10.7.0.3

УБРАТЬ
На Домашнем ПК "route add 10.49.0.0 mask 255.255.0.0 10.7.0.2"
Маршрутизация работает только по адресу назначения, а не по источнику (по источнику тоже можно, но это явно не ваш уровень)
Когда с Домашнего ПК начнет пинговаться ip 10.49.210.30 (рабочего ПК)
б) На рабочем ПК разрешить маршрутизацию IP пакетов (как-то такhttps://remont-comp-pomosh.ru/otvet_mastera/vopros-otvet/v... )
в) на рабочем ПК настраиваем NAT на интерфейсе с 10.49.210.30
https://pc.ru/articles/internet-connection-sharing раздел "Настройка шлюза"

Решение 3:
Выяснить какие TCP и UDP порты вам реально нужны для датчика (ping не нужен)
и пробросить порты на рабочем ПК.
т.е. будете вы обращаться к датчику по ip 10.7.0.2,
как пример
https://winitpro.ru/index.php/2014/12/23/nastrojka...

[I] Dec 12 09:05:29 ipsec: 10[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
[I] Dec 12 09:05:29 ipsec: 10[IKE] inbound CHILD_SA VirtualIPServerIKE2{129} established with SPIs c77a5cd1_i ceba567a_o and TS 0.0.0.0/0 === 192.168.20.7/32
[W] Dec 12 09:05:29 ndm: IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "timerman" @ "192.168.12.98" from "94.73.250.34" disconnected.
[W] Dec 12 09:05:29 ndm: IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "timerman" @ "192.168.12.98" with IP "192.168.20.7" connected.

И что тут не понятно???
Клиент ходил с одного IP "94.73.250.34", и вдруг решил заглянуть с "192.168.20.7".
Естественно все переинициализировалось.

Ищите почему ваши клиенты прыгают по IP как зайцы.

Кстати, если "192.168.20.7" -- IP "внутри" туннеля, то вы трафик туннельный "заворачиваете" опять же в туннель.
А Бутылка клейна в сетях плохой вариант.