고성능 VPN 서버가 필요합니다. 누가 L2TP와 PPTP의 차이점을 알려줄 수 있나요?
답변1
PPTP는 상대적으로 간단한 캡슐화 메커니즘을 사용하고 CPU 부하 측면에서 상대적으로 저렴한 RC4 스트림 암호를 사용합니다. L2TP는 일반적으로 3DES 또는 (최근에는) AES 암호화를 사용하는 캡슐화된 IPSec 터널을 통해 잠재적으로 최대 6개의 캡슐화 계층을 갖춘 훨씬 더 복잡한 캡슐화 메커니즘을 가지고 있습니다. 3DES는 하드웨어에서 구현될 때 상대적으로 효율적이지만 내 경험에 따르면 3DES가 포함된 L2TP 소프트웨어만 동일한 하드웨어에서 PPTP와 L2TP를 실행한 경험이 없지만 간단한 캡슐화 프로토콜보다 오버헤드가 두 배 정도 높습니다. AES를 사용하면 CPU 오버헤드가 더 낮아야 합니다. 이는 일반적으로 3DES보다 20~30% 낮지만 이를 뒷받침할 하드 데이터가 없습니다.
아주 먼 옛날(2002/2003)에 저는 수많은 VPN 인프라를 지원하는 재미있는 작업을 맡았습니다. Intel\Shiva Netstructure 3120 및 3130 VPN 게이트웨이60,000명의 원격 사용자를 지원합니다. 당시 대부분의 인프라는 실제 성능 한계 또는 그에 가까운 수준으로 운영되고 있었습니다. 장치 자체는 (대부분) 733Mhz Pentium III CPU와 512MB RAM을 갖춘 표준 x86 서버 하드웨어였습니다. 3130에는 전용 암호화 가속기 하드웨어(DES/3DES용)가 있었고 90-95Mbps 암호화 처리량\10K 동시 터널을 쉽게 처리했지만 3120은 기본적으로 암호화 가속이 없는 베어본 서버에 불과했으며 약 20Mbps 처리량\2K 동시 터널만 관리했습니다. 해당 처리량은 작동하는 데 단일 UDP 포트만 필요한 유용한 기능을 갖춘 SST라는 독점 Shiva\Intel 프로토콜을 기반으로 했지만 동일한 하드웨어는 IPSec V2를 사용하여 처리량의 약 75%를 처리할 수 있었으며 L2TP를 사용하는 경우 약간 적었습니다. 당시 비준을 받고 있는 중이다. 실제로 3120 게이트웨이는 여전히 L2TP를 통해 1000개의 동시 터널과 10Mbps 정도의 처리량을 쉽게 처리합니다.
내 요점은 1GByte/sec 이하의 메모리 대역폭을 지원하는 아키텍처를 갖춘 단일 코어 733Mhz Intel Coppermine CPU에서 실행되는 L2TP의 소프트웨어 전용 구현이 매우 많은 수의 동시 세션에서 10Mbps의 암호화된 처리량을 편안하게 처리할 수 있다는 것입니다. 최신 멀티 코어/멀티 소켓 서버는 소켓당 CPU 성능이 20~50배, 메모리 대역폭이 20배 이상이므로 이러한 시스템은 소프트웨어만으로 1Gbps의 L2TP 처리량을 쉽게 지원할 수 있을 것으로 기대됩니다. 솔루션과 모든 암호화 하드웨어를 사용하여 최신 시스템은 문제 없이 여러 기가비트 인터페이스에서 회선 속도 L2TP를 제공할 수 있어야 합니다.
답변2
간단히 말해서 L2TP는 IPSec과 함께 사용되고 PPTP는 사용되지 않습니다. L2TP는 더 안전하고 PPTP는 설정이 더 쉽습니다.
답변3
PPTP에 대해서는 전혀 모르지만 IPSec의 경우 암호화 암호 선택에 따라 성능이 달라집니다. *nix 상자를 사용하는 경우 다음을 실행하십시오.
$ openssl 속도
시스템에서 지원하는 다양한 암호화 암호에 대해 시스템을 벤치마킹합니다.