我需要一个高性能的VPN服务器,谁可以告诉我的L2TP和PPTP的区别?
PPTP使用相对简单的封装机制,并使用相对便宜的RC4stream密码。 L2TP具有更为复杂的封装机制,可能使用通常使用3DES或(最近的)AESencryption的封装的IPSec隧道进行多达6层的封装。 在硬件中实现3DES相对高效,但是我的经验是,只有软件只有L2ES和3DES的封装协议的开销是简单封装协议的两倍左右,尽pipe我没有在同一个硬件上愤怒地运行PPTP和L2TP的经验。 使用AES的CPU开销应该更低,我相信这通常低于3DES的20-30%,但是我没有任何硬数据支持。
早在2002年至2003年,我就开始支持由大量支持60k远程用户的Intel \ Shiva Netstructure 3120和3130 VPN网关组成的VPN基础架构。 大部分的基础设施在当时或接近于实际的性能限制。 这些设备本身(大部分)是标准的x86服务器硬件,带有733Mhz Pentium III CPU和512MB RAM。 3130有一些专用的encryption硬件(用于DES / 3DES),并且容易处理90-95Mbps的encryption吞吐量\ 10K同时隧道,但是3120基本上只是一个没有encryption加速的准系统服务器,只能pipe理大约20Mbps吞吐量\ 2K同步隧道。 该吞吐量是基于专有的Shiva \ Intel协议SST,其具有仅需要单个UDP端口工作的有用特征,但是相同的硬件能够处理大约75%的IPSec V2的吞吐量,而L2TP则小得多在当时被批准的过程中。 在实际中,3120网关仍然可以轻松地处理1000个并发隧道和10Mbps左右的L2TP吞吐量。
我的观点是,在一个单核733Mhz英特尔Coppermine CPU上运行的仅L2TP的软件实现,其体系结构支持不超过1GByte / sec的内存带宽,可以在大量并发会话中轻松处理10Mbps的encryption吞吐量。 一个现代化的多内核\多插槽服务器将拥有每插槽20-50倍的CPU功率和20倍或更多的内存带宽,所以我期望系统应该能够轻松地支持1Gbps的L2TP吞吐量解决scheme和任何一个现代系统的encryption硬件都应该能够在多个千兆位接口上提供线速L2TP,而不会出现任何问题。
简而言之,L2TP与IPSec一起使用,而PPTP则不是。 L2TP更安全,PPTP更容易设置。
不知道PPTP,但在IPSec的情况下,您的性能将取决于encryption密码的select。 如果您正在使用* nix框然后运行
$ openssl的速度
它将针对您的系统针对系统支持的不同encryption密码进行基准testing。