Danh mục sản phẩm
Đọc Hiểu Thông Số Router Cisco & Cách Chọn Đúng Thiết Bị Cho Doanh Nghiệp
Đọc Hiểu Thông Số Router Cisco & Cách Chọn Đúng Thiết Bị Cho Doanh Nghiệp
Khi xem datasheet router Cisco, bạn sẽ gặp hàng loạt con số: Routing Throughput, IPsec VPN Throughput, PPS, Concurrent Sessions, Scalability, HSEC... Mỗi thông số đo một thứ khác nhau, và hiểu sai bất kỳ thông số nào đều có thể dẫn đến chọn sai thiết bị — mua quá yếu gây nghẽn, mua quá mạnh lãng phí ngân sách.
Bài viết này giải thích từng thông số theo cách thực tế nhất, và hướng dẫn cách áp dụng khi sizing router cho hệ thống doanh nghiệp.
1. Tại sao cần đọc kỹ thông số trước khi chọn router?
Router doanh nghiệp không chỉ làm một việc — nó định tuyến, mã hóa VPN, kiểm tra ứng dụng, chạy firewall, thậm chí xử lý SD-WAN cùng lúc. Mỗi tính năng bật thêm đều tiêu tốn tài nguyên CPU và memory. Một router ghi "throughput 3.8 Gbps" trong datasheet có thể chỉ còn xử lý được 500 Mbps khi bật đầy đủ IPsec + QoS + IPS.
Đây là lý do không thể chỉ nhìn một con số mà phán đoán thiết bị đủ hay không.
2. CEF Throughput — Hiệu năng định tuyến cơ bản
CEF Throughput — còn gọi là Routing Throughput hay Aggregate Throughput — là tốc độ tối đa router xử lý được khi chỉ làm định tuyến IP thuần túy, không bật VPN, không bật IPS, không có dịch vụ nào thêm. Cisco dùng công nghệ CEF (Cisco Express Forwarding) để tối ưu tốc độ lookup bảng định tuyến, bỏ qua process switching.
Đây là con số trần lý thuyết — thực tế luôn thấp hơn khi có traffic thực và khi bật thêm tính năng.
Quy tắc thực tế: CEF Throughput phải cao hơn tổng băng thông WAN ít nhất 2–3 lần. Nếu WAN 1 Gbps mà router chỉ có CEF 1 Gbps — bạn không còn headroom nào khi traffic tăng hoặc khi bật thêm tính năng.
Thông số này thường được đo bằng Gbps hoặc Mbps.
Ví dụ (một số router Cisco phổ biến):
| Model | Routing Throughput |
|---|---|
| Cisco ISR 4331 | ~100 Mbps |
| Cisco ISR 4431 | ~500 Mbps |
| Cisco C8200 series | ~3.8 Gbps |
| Cisco 8300 series | ~19.7 Gbps |
Lưu ý: Đây thường là throughput trong điều kiện lý tưởng, khi chưa bật nhiều dịch vụ nâng cao.
3. IPsec VPN Throughput — Hiệu năng khi chạy VPN
Khi bật VPN, router phải mã hóa và giải mã toàn bộ traffic theo chuẩn AES-256 hoặc AES-128. Đây là tác vụ nặng về mặt tính toán — và IPsec VPN Throughput thường thấp hơn CEF Throughput đáng kể, từ 1/3 đến 1/4 tùy model và thế hệ phần cứng.
Các router thế hệ mới thường trang bị hardware crypto engine để tăng tốc mã hóa, giúp khoảng cách giữa CEF Throughput và IPsec Throughput hẹp hơn so với thế hệ cũ — nhưng IPsec luôn thấp hơn CEF, không có ngoại lệ.
Quy tắc thực tế: tổng băng thông VPN cần = (số site × băng thông trung bình/site) + (số user remote × băng thông trung bình/user). Cộng thêm 30–40% buffer. Đây mới là con số cần so với IPsec VPN Throughput trong datasheet.
Ví dụ:
| Router | VPN Throughput |
|---|---|
| Cisco C8200L-1N-4T | ~500 Mbps |
| Cisco C8200-1N-4T | ~1 Gbps |
| Cisco C8300-1N1S-6T | ~1.9 Gbps |
Nếu doanh nghiệp có nhiều chi nhánh kết nối VPN, đây là thông số cực kỳ quan trọng.
4. SD-WAN Throughput — Hiệu năng khi chạy SD-WAN
SD-WAN Throughput là thông số khác với IPsec VPN Throughput và thường bị nhầm lẫn. SD-WAN không chỉ mã hóa — nó còn phân tích ứng dụng theo layer 7, chọn đường WAN tối ưu theo chính sách, giám sát link liên tục và chuyển traffic tự động khi link kém. Tất cả xử lý này tốn thêm tài nguyên, khiến SD-WAN Throughput thường thấp hơn IPsec VPN Throughput khoảng 10–20% tùy cấu hình policy.
HSEC License — Điểm quan trọng thường bị bỏ qua
Mặc định không có HSEC license, IPsec throughput bị giới hạn ở 250 Mbps mỗi chiều và tối đa 1.000 tunnel — bất kể phần cứng mạnh đến đâu. Đây là giới hạn export control của Mỹ áp dụng cho tất cả router Cisco bán ra toàn cầu.
Muốn vượt ngưỡng này phải mua thêm HSEC license riêng — đây là license add-on, không phải subscription thông thường, và cần được kích hoạt bằng key file.
Hệ quả thực tế: nhiều dự án mua router phần cứng mạnh nhưng quên HSEC license, đến khi triển khai VPN mới phát hiện bị giới hạn 250 Mbps dù đường truyền 1 Gbps. Cần hỏi HSEC ngay từ khi lập dự toán.
5. Packets Per Second (PPS) — Xử lý gói tin nhỏ
PPS đo số lượng gói tin nhỏ router xử lý được mỗi giây. Thông số này thường bị bỏ qua khi mua hàng nhưng lại rất quan trọng trong thực tế.
Throughput (Gbps/Mbps) đo tổng dữ liệu — phù hợp để đánh giá truyền file lớn. Nhưng nhiều ứng dụng thực tế lại tạo ra rất nhiều gói tin nhỏ (64 byte): VoIP, video call, DNS query, HTTP/2, IoT sensors. Nếu PPS không đủ, router sẽ drop packet kể cả khi bandwidth vẫn còn dư — người dùng thấy mạng lag, giật, cuộc gọi ngắt dù speed test vẫn đẹp.
Quy tắc thực tế: môi trường có VoIP, nhiều thiết bị IoT, hoặc hàng nghìn kết nối đồng thời → kiểm tra PPS, không chỉ nhìn Throughput Gbps.
6. Concurrent Sessions — Số kết nối đồng thời
Mỗi kết nối TCP/UDP từ bất kỳ thiết bị nào trong mạng (duyệt web, Teams call, truy cập cloud, backup...) đều chiếm một entry trong state table của router. Khi bảng này đầy, router từ chối kết nối mới — người dùng thấy mạng chập chờn dù ping vẫn OK và bandwidth vẫn còn dư.
Ước tính thực tế: một người dùng văn phòng hoạt động bình thường tạo ra 500–2.000 session đồng thời tùy số ứng dụng cloud, tab trình duyệt, backup agent đang chạy nền.
| Quy mô | Số người dùng | Concurrent Sessions cần |
|---|---|---|
| Văn phòng nhỏ | 20–50 người | 50.000 – 100.000 |
| Văn phòng vừa | 50–200 người | 100.000 – 500.000 |
| Trụ sở lớn | 200–1.000+ người | 500.000 – 2.000.000 |
Lưu ý: môi trường có nhiều server, IoT, hoặc ứng dụng tạo nhiều connection (ERP, database) cần tính cao hơn các con số trên.
7. Scalability — Giới hạn quy mô hệ thống
Nếu Throughput đo tốc độ xử lý, thì Scalability đo quy mô — router chứa được bao nhiêu thứ trong bộ nhớ cùng lúc. Đây là giới hạn cứng của phần cứng, không thể vượt qua dù CPU còn trống hay băng thông vẫn còn dư.
Trong thực tế, nhiều hệ thống hoạt động ổn định nhiều năm rồi bỗng dưng có vấn đề không rõ nguyên nhân — routing bất thường, VPN drop, policy không hoạt động — và nguyên nhân gốc rễ là router đã chạm giới hạn Scalability mà không ai để ý từ đầu.
Number of IPv4/IPv6 Routes — Dung lượng bảng định tuyến
Số entry tối đa router lưu được trong bảng định tuyến. Với router nội bộ chỉ chạy OSPF/EIGRP thì vài trăm đến vài nghìn routes — không thành vấn đề. Nhưng với router biên kết nối Internet qua BGP, full BGP table hiện tại xấp xỉ 950K–1M IPv4 routes — nếu router không chứa đủ thì không thể nhận full table từ ISP.
Thực tế: nếu chạy BGP với ISP, xác định rõ cần nhận full table hay chỉ default route + specific prefixes — quyết định này ảnh hưởng trực tiếp đến yêu cầu route capacity khi chọn model.
Number of ACLs / ACEs — Dung lượng chính sách bảo mật
- ACL (Access Control List): một nhóm rule kiểm soát truy cập
- ACE (Access Control Entry): một dòng rule cụ thể bên trong ACL đó
Ví dụ: ACL "Chính sách phòng Kế toán" có 30 dòng rule = 1 ACL + 30 ACE. Giới hạn này ảnh hưởng đến môi trường nhiều VLAN, nhiều phòng ban với policy phức tạp, hoặc tích hợp Cisco ISE với nhiều SGT. Văn phòng thông thường hiếm khi chạm giới hạn này — campus lớn hoặc multi-tenant thì cần kiểm tra kỹ.
Number of NAT Sessions — Số kết nối NAT đồng thời
Mỗi thiết bị trong mạng nội bộ kết nối ra Internet đều đi qua NAT — và mỗi kết nối chiếm một NAT session. Con số này thoạt nghe lớn nhưng tiêu hết rất nhanh:
- 1 người dùng văn phòng hoạt động bình thường: ~200–500 NAT session
- 1 server backup chạy nền: có thể tạo hàng nghìn session
- Thiết bị IoT, camera IP: mỗi thiết bị vài chục session liên tục
Thực tế: đây là thông số hay bị underestimate nhất. Văn phòng đông người với nhiều ứng dụng cloud và thiết bị đầu cuối có thể dễ dàng chạm giới hạn NAT session của router mid-range — dẫn đến kết nối mới bị từ chối mà không có cảnh báo rõ ràng.
Number of VRFs — Số bảng định tuyến ảo
VRF (Virtual Routing and Forwarding) cho phép router chạy nhiều bảng định tuyến độc lập trên cùng một phần cứng. Dùng để tách biệt traffic giữa các môi trường: production / development / management, hoặc giữa các tenant trong môi trường multi-tenant, MPLS L3VPN. Doanh nghiệp đơn lẻ thường dùng vài chục VRF — không thành vấn đề. MSP hoặc tòa nhà nhiều công ty thuê cần số VRF lớn hơn nhiều.
Number of IPsec Tunnels — Số VPN tunnel đồng thời
Giới hạn tổng số VPN tunnel router có thể duy trì cùng lúc — bao gồm cả site-to-site lẫn remote access VPN. Đây là giới hạn phần mềm, không phụ thuộc vào throughput còn dư hay không.
Thực tế: mỗi chi nhánh kết nối site-to-site = 1 tunnel. Mỗi nhân viên remote VPN đang kết nối = 1 tunnel. Ví dụ doanh nghiệp 200 chi nhánh + 100 remote users thường xuyên online → cần router chịu được ít nhất 300 tunnels, cộng thêm buffer.
Tóm tắt — khi nào cần kiểm tra Scalability:
| Tình huống | Thông số cần xem |
|---|---|
| Kết nối BGP Internet, nhận nhiều prefix từ ISP | Number of IPv4/IPv6 Routes |
| Nhiều VLAN, phân quyền phức tạp, tích hợp ISE | Number of ACLs / ACEs |
| Văn phòng đông người, nhiều thiết bị, server backup | Number of NAT Sessions |
| Multi-tenant, MPLS, nhiều môi trường tách biệt | Number of VRFs |
| Nhiều chi nhánh VPN hoặc đông remote users | Number of IPsec Tunnels |
Nguyên tắc chung: bảng Scalability thường dùng để loại bỏ một model hơn là để chọn. Một router throughput rất cao nhưng giới hạn IPsec tunnel thấp sẽ không phù hợp cho hub aggregation nhiều chi nhánh, dù bandwidth còn rất dư.
8. WAN Interfaces & Module Slots — Khả năng mở rộng phần cứng
Số lượng và loại cổng WAN quyết định khả năng kết nối và mở rộng trong tương lai:
- NIM slot (Network Interface Module): cắm thêm module WAN như LTE, T1/E1, Serial, thêm GE/10GE
- SM slot (Service Module): dành cho module dịch vụ nặng hơn như voice DSP, compute module
- Onboard GE/10GE port: số cổng sẵn có không cần module thêm
Số slot trên mỗi model khác nhau đáng kể — router nhỏ branch thường có 1 NIM slot, router hub/aggregation có thể có 2–4 slot và thêm 10GE onboard.
Quy tắc thực tế: đừng chỉ tính nhu cầu hiện tại — tính cả nhu cầu 3–5 năm tới. Thiếu slot module đồng nghĩa phải thay toàn bộ router khi cần mở rộng kết nối WAN.
9. License & Subscription — Chi phí thực sự của router Cisco
Đây là điểm đặc thù của router Cisco mà nhiều người mua không để ý: giá phần cứng chỉ là một phần của tổng chi phí.
Các dòng router Cisco thế hệ hiện tại gắn throughput và tính năng nâng cao với software subscription theo tier — khác với thế hệ cũ dùng perpetual license. Subscription có thời hạn, cần gia hạn định kỳ.
Chi phí thực tế của một router Cisco bao gồm:
- Phần cứng (one-time)
- Software Subscription — mở khóa throughput tier và tính năng SD-WAN, bảo mật nâng cao
- HSEC License — nếu cần IPsec vượt 250 Mbps hoặc vượt 1.000 tunnel
- SmartNet Support — bảo hành phần cứng và TAC support
Hệ quả thực tế khi lập dự toán: không nên chỉ nhìn giá phần cứng. Nhiều dự án bị underestimate ngân sách vì quên software subscription hoặc HSEC license. Cần tính tổng cost of ownership (TCO) 3–5 năm từ đầu.
10. Quy trình sizing router thực tế — 5 câu hỏi cần trả lời
1. Băng thông WAN tổng là bao nhiêu, và dự kiến 3–5 năm tới? — CEF Throughput phải cao hơn con số này ít nhất 2–3 lần. Tính cả tăng trưởng.
2. Có chạy VPN không? Bao nhiêu site, bao nhiêu user remote, tổng băng thông VPN cần là bao nhiêu? — So với IPsec VPN Throughput. Cộng thêm 30–40% buffer. Xác định có cần HSEC license không.
3. Có triển khai SD-WAN không? — Nếu có, cần software subscription phù hợp. SD-WAN throughput thấp hơn IPsec — cần sizing riêng. Xác định quản lý on-premises hay cloud.
4. Có VoIP, IoT, hoặc nhiều kết nối đồng thời không? — Kiểm tra PPS và Concurrent Sessions. Không chỉ nhìn Gbps.
5. Có giới hạn Scalability nào có thể bị chạm không? — Kiểm tra NAT Sessions, IPsec Tunnels, IPv4 Routes, VRFs theo đặc thù hệ thống. Đây là bước hay bị bỏ qua nhất.
11. Câu hỏi thường gặp
Throughput trong datasheet có phải là tốc độ thực tế không? — Không. Đây là con số trong điều kiện lab lý tưởng. Thực tế thấp hơn khi bật nhiều tính năng. Nên sizing với headroom ít nhất 30–50% so với nhu cầu thực tế.
HSEC License là gì và khi nào cần mua? — HSEC (High Security) license cần khi IPsec throughput vượt 250 Mbps hoặc số tunnel vượt 1.000. Đây là yêu cầu export control của Mỹ áp dụng cho mọi router Cisco. Cần xác nhận và mua ngay từ khi lập dự toán, không phải sau khi triển khai xong mới phát hiện thiếu.
Scalability có thể nâng cấp được không? — Phần lớn là không — đây là giới hạn phần cứng và kiến trúc phần mềm của từng platform. Khi chạm giới hạn Scalability, giải pháp thường là thay router hoặc tái kiến trúc hệ thống. Đây là lý do cần kiểm tra Scalability ngay từ khâu thiết kế, không phải khi đã xảy ra sự cố.
Làm thế nào để biết hệ thống đang gần chạm giới hạn Scalability? — Giám sát định kỳ qua CLI (show platform resources, show ip nat translations total, show crypto session summary...) hoặc qua hệ thống quản lý tập trung như Cisco Catalyst Center. Không có cảnh báo tự động mặc định cho hầu hết các giới hạn Scalability — cần chủ động theo dõi.
Khi nào nên thuê tư vấn thay vì tự sizing? — Khi hệ thống có nhiều site, chạy BGP với ISP, kết hợp nhiều loại VPN, hoặc cần SD-WAN phức tạp — việc sizing sai có thể dẫn đến outage hoặc phải thay thiết bị trước thời hạn. Chi phí tư vấn thường thấp hơn nhiều so với chi phí mua lại hoặc downtime.
