我需要一個高效能的VPN伺服器,誰能告訴我L2TP和PPTP之間的差異?
答案1
PPTP採用相對簡單的封裝機制,並使用CPU負載相對便宜的RC4流密碼。 L2TP 具有更複雜的封裝機制,可能具有多達 6 層的封裝,且封裝的 IPSec 隧道通常使用 3DES 或(最近的)AES 加密。在硬體中實現時,3DES 相對有效,但我的經驗是,僅使用 3DES 的軟體 L2TP 的開銷大約是較簡單封裝協定的兩倍,儘管我沒有在同一硬體上運行 PPTP 和 L2TP 的任何重要經驗。使用 AES,CPU 開銷應該更低,我相信這通常比 3DES 低 20-30%,但我沒有任何硬數據來支援這一點。
早在很久以前(2002/2003),我就有一個有趣的任務,那就是支援由大量組成的 VPN 基礎設施。 Intel\Shiva Netstruct 3120 & 3130 VPN 網關支援6萬遠端用戶。當時,許多基礎設施的運作達到或接近其實際性能極限。這些設備本身(大部分)是標準 x86 伺服器硬件,配有 733Mhz Pentium III CPU 和 512MB RAM。 3130 有一些專用的加密加速器硬體(用於DES/3DES),可以輕鬆處理90-95Mbps 加密吞吐量\10K 並發隧道,但3120 基本上只是一個沒有加密加速的準系統伺服器,只能管理大約20Mbps 吞吐量\2K 並發隧道。該吞吐量基於名為SST 的Shiva\Intel 專有協議,該協議具有隻需要單個UDP 連接埠即可工作的有用功能,但相同的硬體能夠處理約75% 的吞吐量,而IPSec V2 的吞吐量略低,而L2TP 的吞吐量則略低。實際上,3120 網關仍然可以透過 L2TP 輕鬆處理 1000 個並發隧道和 10Mbps 左右的吞吐量。
我的觀點是,在單核心 733Mhz Intel Coppermine CPU 上運行的 L2TP 純軟體實作(其架構支援不超過 1GByte/sec 記憶體頻寬)能夠輕鬆地在大量並發會話中處理 10Mbps 加密吞吐量。現代多核心\多插槽伺服器的每個插槽的 CPU 功率將提高 20-50 倍,記憶體頻寬將提高 20 倍或更多,因此我預計這樣的系統應該能夠僅透過軟體輕鬆支援 1Gbps 的 L2TP 吞吐量解決方案以及任何加密硬件,現代系統應該能夠在多個千兆位元介面上毫無問題地提供線速L2TP。
答案2
簡而言之,L2TP 與 IPSec 一起使用,而 PPTP 則不是。 L2TP更安全,PPTP更容易設定。
答案3
不知道 PPTP,但在 IPSec 的情況下,您的性能將根據加密密碼的選擇而有所不同。如果您使用的是 *nix 盒子,那麼請運行
$openssl 速度
它將針對您的系統支援的不同加密密碼對您的系統進行基準測試。