PPTP 使用相对简单的封装机制,并使用 RC4 流密码,在 CPU 负载方面相对便宜。L2TP 有一个更复杂的封装机制,可能有多达 6 层封装,封装的 IPSec 隧道通常使用 3DES 或(最近)AES 加密。当在硬件中实现时,3DES 相对高效,但我的经验是,尽管我没有在同一硬件上愤怒地运行 PPTP 和 L2TP 的任何重要经验,但我的经验是,只有带 3DES 的 L2TP 软件的开销大约是更简单的封装协议的两倍。使用 AES,CPU 开销应该更低,我相信这通常比 3DES 低 20-30%,但我没有任何硬数据来支持它。
回到时间的深处 (2002/2003) 我有一个有趣的任务是支持由大量Intel\Shiva Netstructure 3120 和 3130 VPN 网关组成的 VPN 基础设施 支持60k远程用户。当时,大部分基础设施都在或接近其实际性能极限运行。这些设备本身(大部分)是标准的 x86 服务器硬件,配备 733Mhz Pentium III CPU 和 512MB 内存。3130 有一些专用的加密加速器硬件(用于 DES/3DES)并且可以轻松处理 90-95Mbps 加密吞吐量\10K 同时隧道,但 3120 基本上只是一个没有加密加速的准系统服务器,只能管理大约 20Mbps 吞吐量\2K 同时隧道。该吞吐量基于名为 SST 的专有 Shiva\Intel 协议,该协议具有仅需要单个 UDP 端口即可工作的有用功能,但相同的硬件能够处理 IPSec V2 的约 75% 的吞吐量,而 L2TP 则略少当时正在审批中。在实践中,3120 网关仍然可以轻松处理 1000 个并发隧道和 10Mbps 左右的 L2TP 吞吐量。
我的观点是,L2TP 的纯软件实现运行在单核 733Mhz Intel Coppermine CPU 上,其架构支持不超过 1GByte/sec 的内存带宽,能够轻松处理大量并发会话中的 10Mbps 加密吞吐量。现代多核\多插槽服务器每个插槽的 CPU 功率是 20-50 倍,内存带宽是 20 倍或更多,因此我希望这样的系统应该能够仅使用软件轻松支持 1Gbps 的 L2TP 吞吐量解决方案和任何加密硬件,现代系统应该能够在多个千兆接口上提供线速 L2TP,没有任何问题。
| 归档时间: |
|
| 查看次数: |
2340 次 |
| 最近记录: |