Skillnaden i prestanda mellan IPsec och SSL VPN

Varför är det en stor skillnad i halveringstid mellan SSL VPN och IPsec VPN i förmån för IPsec på Fortigate-brandväggar (enligt brandväggsdatasheet)? Jag tittar på Cisco ASA-datasheets och de nämner bara VPN-prestanda (och en begränsning på antalet SSL VPN-användare). Det verkar vara samma sak för Palo Alto även om jag inte har gjort mycket research där.

Det verkar som att när IKE-förhandlingen/SSL-handshake är klar, använder båda protokollen i princip AES256 symmetrisk kryptering. Förhandlingen är en sällsynt händelse, så dess påverkan på prestandan bör vara försumbar jämfört med själva krypteringen/avkrypteringen av paketen. Så varför är det då så stor skillnad?

IPsec-trafiksessioner kan helt avlastas i hårdvara, så kärnan behöver inte bry sig om dem när de väl är etablerade.
Å andra sidan kan SSL-VPN inte helt avlastas, så paketen kommer alltid att nå kärnan.

Andra tillverkare kan också ha skillnader i prestanda, de avslöjar dem bara inte.

Vår verkliga erfarenhet på en 601E är att SSL VPN-prestanda faktiskt är mycket högre med DTLS.