Давненько делал шифрование L2-линка между офисами на базе двух P4-2.8 писюков и OpenVPN (шифровал blowfish'ем). Скорости проца хватило на 100МБит полу-дуплекса. Бюджет, сами понимаете - просто смешной :)
Выбирал именно blowfish и, как следствие OpenVPN, только из-за скорости - с 3DES'ом на 100Mbit писюки уже не справлялись, а AES в той версии openssl был ещё тормозной. Цифры максимальной производительности OpenVPN хорошо коррелируют с "openssl speed алгортим".
Так что, гигабит в софте на дешёвом железе обработать не получится, а вот с пол-гигабита при умелом распараллеливании по ядрам - можно попробовать.
Что ещё приятно, так это то, что отказоустойчивость можно реализовать в такой схеме крайне просто - 2 компа с каждой стороны, OpenVPN в режиме моста и etherchannel с обеих сторон, можно даже 802.1Q пробросить :-)