O PPTP usa um mecanismo de encapsulamento relativamente simples e usa a codificação de fluxo RC4, que é relativamente barata em termos de carga da CPU. O L2TP tem um mecanismo de encapsulamento muito mais complexo, com potencial de até 6 camadas de encapsulamento com o encapsulamento do encapsulamento IPSec usando tipicamente a criptografia 3DES ou (mais recentemente) AES. O 3DES é relativamente eficiente quando implementado em hardware, mas minha experiência é que somente o software L2TP com 3DES tem aproximadamente o dobro da sobrecarga de protocolos de encapsulamento mais simples, embora eu não tenha nenhuma experiência significativa com a execução de PPTP e L2TP no mesmo hardware. Com o AES, a sobrecarga da CPU deve ser menor, acredito que isso seja tipicamente de 20 a 30% abaixo do 3DES, mas não tenho dados concretos para comprovar isso.
De volta às profundezas do tempo (2002/2003) Eu tive a divertida tarefa de suportar uma infra-estrutura de VPN que era composta de um grande número de IntelShShiva Netstructure 3120 & 3130 gateways VPN suportando usuários remotos de 60k. Grande parte da infraestrutura estava operando em ou perto de seus limites de desempenho prático no momento. Os dispositivos em si eram (na maior parte) hardware de servidor x86 padrão com um CPU Pentium III de 733Mhz e 512MB de RAM. O 3130 tinha algum hardware acelerador de criptografia dedicado (para DES / 3DES) e lidava facilmente com túneis simultâneos de 10kK de throughput criptografado de 90-95Mbps, mas o 3120 era basicamente apenas um servidor barebone sem aceleração de criptografia e gerenciava apenas túneis simultâneos de throughput de 2kbps. Esse throughput foi baseado em um protocolo Shiva \ Intel proprietário chamado SST, que tinha o recurso útil de exigir apenas uma única porta UDP para funcionar, mas o mesmo hardware era capaz de lidar com 75% da taxa de transferência com IPSec V2 marginalmente menor com L2TP. no processo de ser ratificado na época. Na prática, os gateways 3120 ainda manejavam facilmente 1000 túneis simultâneos e 10Mbps de throughput com L2TP.
Meu ponto é que uma implementação somente de software do L2TP em execução em um CPU Intel Coppermine de 733Mhz com arquitetura que suportava não mais de 1GByte / seg de largura de banda de memória era capaz de lidar confortavelmente com um fluxo criptografado de 10Mbps sessões. Um servidor multi-core \ multi-socket moderno terá 20-50x a potência da CPU por socket e 20x ou mais a largura de banda da memória, então eu esperaria que tal sistema pudesse suportar facilmente 1Gbps de throughput L2TP com apenas um software solução e com qualquer hardware de criptografia em tudo um sistema moderno deve ser capaz de fornecer velocidade de linha L2TP em várias interfaces Gigabit sem qualquer problema.