보안은 VPN의 핵심이다. VPN 서버는 적절히 구성됐을 경우 인증을 받은 사용자로부터 오는 패킷만을 전달할 것이다. 이 서버는 정보가 기업 서버로부터 인터넷을 통해 원격 사용자에게 전송될 때 이 정보를 암호화한다. 원격 사용자는 로컬 사용자인 것처럼 인식되어 IP 어드레스에 따라 제한되는 서비스로의 액세스가 허용된다.
◇ 가장 중요한 선택 기준, 확장성
많이 나와있는 VPN 서버를 볼 때, 확장성을 기준으로 하면 당신이 필요로 하는 서버 집합에 금방 초점을 집중시킬 수 있다. 그리고 두 가지 관련 변수들, 즉 동시 사용자 수와 작업처리 역량은 경쟁 제품들 중에서 가려낼 수 있게 도와줄 것이다.
수많은 VPN 솔루션들이 100명 혹은 그 이하의 사용자 규모로 돼 있다. 만약 더 큰 규모를 필요로 하는 환경이라면, 선택의 폭은 급격히 줄어들며, 가격은 마찬가지로 급격히 상승한다. 고급형 쪽에서 인터넷 서비스 사업자를 타깃으로 하는 VPN 서버들은 10만 동시 사용자를 처리할 수 있다.
VPN 서버 확장성의 또 한 가지 기준은 이것이 패킷을 처리하고 파이프 아래로 비트를 밀어낼 수 있는 속도다. 수신되는 각각의 패킷은 어드레스, 프로토콜 유형, 포트 번호 및 기타 파라미터들에 있어 임의의 입력 및 출력 필터에 대조 비교돼야 한다. 패킷이 필터링 절차를 통과할 경우, 페이로드는 VPN 터널을 통과하는 방향에 따라 암호화, 혹은 암호 해독이 돼야 한다.
암호화 과정은 패킷 지향성이기 때문에, 성능은 패킷의 크기에 따라 다양해질 것이다. 1,000바이트 패킷으로 구성된 1 메가바이트를 처리하는 데는 약 1,000개의 암호화 작업이 필요하다. 100바이트 패킷의 같은 메가바이트를 처리하는 데는 10배나 더 많은 작업이 필요하다.
결과적으로, 일련의 1,500바이트 패킷에서 초당 바이트 수인 원시 성능은 인터넷에서 평균 패킷 크기인 300바이트 패킷 스트림에서의 그것보다 몇 배가 높을 것이다. 공고된 사양에서는 보통 큰 패킷 크기용 결과를 언급하기 때문에, 실세계에서 성능은 다양할 것이다.
또 한 가지 변수는 일부 시스템에서 추가 IPsec 헤더 정보 삽입에서의 패킷 분할(fragmentation)로 인해 경험하게 되는 성능 감소다. 원시 바이트 프로세싱 및 지원 사용자 수간의 관계도 또한 고려돼야 한다. 100명의 사용자를 지원한다고 표시된 일부 VPN 서버들은 100만~200만bps만을 처리할 수 있다.
계산을 해보자. 모든 사용자가 같은 순간에 패킷을 보낸다면 성능은 사용자당 10~20Kbps 밖에 되지 않는다. 이들이 비디오 스트림을 모두 보고 있다면, 서버 대역폭 쟁탈전이 벌어질 것이다. 즉 패킷은 유실될 것이며, 사용자는 성능 감소를 경험하게 될 것이다. 반대로, 이들이 모두 간단하게 웹 페이지를 브라우징하고, 전자우편을 읽고 있다면, 받아들일 만한 경험을 하게 될 것이다.
다른 100명의 사용자들이 사용하는 시스템은 최고 약 10Mbps에 이르는 보다 높은 작업처리량을 지원한다. 암호화된 프레임은 랜덤에 가까우며, 압축의 이점은 제공하지 않는다는 사실을 유의해야 한다.
수백에서 약 1,500명의 사용자를 지원하는 서버들은 20~ 80Mbps의 작업처리량에 속하지만, 이런 시스템들은 푼돈으로는 살 수 없는 물건들이다. 고속 VPN 서버가 그렇게 비싼 한 가지 이유는 이들이 값비싼 전문 하드웨어를 이용해 패킷 암호화/암호 해독 기능을 수행하기 때문이다.
