Công văn 14939-CV/VPTW 2025 của Văn phòng Ban Chấp hành Trung ương về việc hướng dẫn một số nội dung về chuyển đổi số phục vụ việc sáp nhập cấp tỉnh, cấp xã

BAN CHẤP HÀNH TRUNG ƯƠNG VĂN PHÒNG *	ĐẢNG CỘNG SẢN VIỆT NAM ___________
Số 14939-CV/VPTW V/v hướng dẫn một số nội dung về chuyển đổi số phục vụ việc sáp nhập cấp tỉnh, cấp xã	Hà Nội, ngày 21 tháng 5 năm 2025

 

Kính gửi: Các tỉnh ủy, Thành ủy,

 

Căn cứ Quyết định số 204-QĐ/TW, ngày 29/11/2024 của Ban Bí thư về việc phê duyệt Đề án chuyển đổi số trong các cơ quan đảng; căn cứ tình hình thực tế triển khai sáp nhập đơn vị hành chính cấp tỉnh; cấp xã và không tổ chức đơn vị hành chính cấp huyện, Văn phòng Trung ương Đảng hướng dẫn một số nội dung về hạ tầng số; nền tảng và dữ liệu số; an toàn thông tin, an ninh mạng; hệ thống trực tuyến và một số nội dung liên quan.

Các tỉnh ủy, thành ủy thuộc diện sáp nhập cần chủ động phối hợp để triển khai, thực hiện hướng dẫn kèm theo Công văn này, bảo đảm tiết kiệm, hiệu quả, tránh lãng phí (Chi tiết trong Phụ lục kèm theo).

Trong quá trình thực hiện, nếu có vướng mắc, đề nghị các đồng chí trao đổi với Cục Chuyển đổi số - Cơ yếu, Văn phòng Trung ương Đảng, điện thoại 080.45539, 080.45169.

Trân trọng cảm ơn.

 

Nơi nhận: - Như trên; - Các đồng chí lãnh đạo Văn phòng Trung ương Đảng, - Cục Chuyển đổi số - Cơ yếu, - Lưu Văn phòng Trung ương Đảng.

K/T CHÁNH VĂN PHÒNG PHÓ CHÁNH VĂN PHÒNG Phạm Gia Túc

 

PHỤ LỤC

Hướng dẫn triển khai hạ tầng kỹ thuật, các hệ thống thông tin khi thực hiện sáp nhập các tỉnh, thành phố theo mô hình hai cấp
(Kèm theo Công văn số 14939-CV/VPTW, ngày 21/5/2025 của Văn phòng Trung ương Đảng)

 

I- Mục đích, yêu cầu, phạm vi

1. Mục đích

Hướng dẫn các địa phương tổ chức lại hạ tầng kỹ thuật, hệ thống thông tin, bảo đảm an toàn thông tin, an ninh mạng trong quá trình sáp nhập đơn vị hành chính cấp tỉnh, cấp xã và không tổ chức đơn vị hành chính cấp huyện.

2. Yêu cầu

Bảo đảm hoạt động các hệ thống mạng, hệ thống thông tin, cơ sở dữ liệu và dịch vụ số của tỉnh ủy, thành ủy không bị gián đoạn, liên tục, ổn định, tin cậy, an toàn, hiệu quả và hạn chế tối đa các rủi ro về mất mát dữ liệu.

Hạ tầng kỹ thuật và các hệ thống thông tin phải bảo đảm liên thông giữa các cấp (Trung ương, tỉnh, xã).

Dữ liệu, tài khoản người dùng, dịch vụ số trên môi trường mạng cần được kế thừa và chuyển đổi thông suốt, hạn chế thay đổi quá lớn gây gián đoạn truy cập của người sử dụng; tra cứu thông tin, các thông tin lịch sử (trước khi sáp nhập) vẫn có thể truy vết được.

Mọi hoạt động di chuyển, lưu trữ chung (gộp) dữ liệu phải tuân thủ các quy định về an toàn thông tin và bảo mật theo cấp độ (theo Nghị định số 85/2016/NĐ-CP, ngày 01/7/2017).

Tận dụng tối đa hạ tầng sẵn có, tránh đầu tư chồng chéo, lãng phí và tích hợp dễ dàng với các hệ thống mới sau hợp nhất.

3. Phạm vi áp dụng

Áp dụng đối với tỉnh ủy, thành ủy và các cơ quan, tổ chức đảng trực thuộc các cấp.

II- Tổ chức thực hiện

1. Về thể chế, pháp lý

Tỉnh ủy, thành ủy căn cứ Công văn này, trên cơ sở tình hình thực tế tại địa phương và lộ trình sáp nhập đơn vị hành chính cấp tỉnh, cấp xã xây dựng kế hoạch và tổ chức thực hiện:

- Rà soát, cập nhật và thống nhất các văn bản quy phạm pháp luật, quy định, Quy chế quản lý, vận hành, chia sẻ, khai thác dữ liệu giữa các cấp hành chính sau hợp nhất.

- Xây dựng hướng dẫn kỹ thuật chi tiết về chuyển đổi, tích hợp các hệ thống thông tin trong giai đoạn sáp nhập, bảo đảm tính pháp lý của dữ liệu và giao dịch số.

2. Về hạ tầng kỹ thuật

2.1. Mô hình tổng quan kết nối mạng

Hình 1. Mô hình tổng quan kết nối mạng Intranet

2.2. Mô hình mạng cấp tỉnh ủy, thành ủy

a) Mạng nội bộ (Intranet)

Mạng nội bộ (Intranet) được sử dụng để truyền tải, lưu trữ các văn bản có độ mật: Thường, mật và tối mật. Sơ đồ mạng nội bộ như sau:

Hình 2. Mô hình mạng cấp tỉnh

- Mô tả sơ đồ, nguyên tắc hoạt động

Mạng Intranet bao gồm các phân vùng, cụ thể như sau:

+ Zone Outside (vùng mạng biên): Được thiết lập để cung cấp các kết nối hệ thống ra bên ngoài mạng truyền số liệu chuyên dùng bao gồm thiết bị định tuyến (router), thiết bị tường lửa (Firewall) ngoài, thiết bị bảo mật để bảo mật đường truyền kết nối từ người dùng của tỉnh đến Trung ương.

Core Network (vùng mạng core): bao gồm: Các thiết bị tường lửa (Firewall) trong, kết hợp với các thiết bị chuyển mạch có hiệu năng cao nhằm bảo đảm kết nối giữa các phân vùng nội bộ hệ thống với tốc độ cao, không gây trễ hoặc nghẽn mạng, đồng thời bảo đảm an ninh mạng và an toàn dữ liệu.

+ Zone DB (vùng máy chủ CSDL): Triển khai các máy chủ cơ sở dữ liệu cho các ứng dụng, các hệ thống thông tin trong nội bộ tỉnh.

+ Zone APP (vùng máy chủ ứng dụng): Triển khai các máy chủ vật lý, máy chủ ảo hóa cài đặt các dịch vụ các hệ thống hoặc các phần mềm ứng dụng, các hệ thống thông tin phục vụ cho nội bộ trong tỉnh.

+ Zone HNTT (vùng hội nghị trực tuyến): Kết nối các trang thiết bị của hệ thống hội nghị trực tuyến.

+ Zone LAN (vùng máy trạm): Kết nối các máy trạm của người dùng của văn phòng tỉnh ủy, thành ủy và các ban xây dựng Đảng để khai thác các phần mềm ứng dụng, các hệ thống thông tin dùng chung của tỉnh ủy, thành ủy và của các cơ quan đảng ở Trung ương.

- Trung tâm mạng của tỉnh ủy, thành ủy (trung tâm mạng) được đặt tại trụ sở tỉnh ủy, thành ủy sau khi sáp nhập. Quy hoạch địa chỉ IP mới lấy theo quy hoạch IP đã cấp cho tỉnh, thành cũ nơi được đặt trung tâm mạng (Ví dụ: Bình Định và Gia Lai được hợp nhất thành Gia Lai, trung tâm mạng sẽ đặt tại Bình Định; quy hoạch IP lấy theo quy hoạch IP của Bình Định trước hợp nhất).

b) Mạng Internet

Gồm các máy tính kết nối với mạng Internet để khai thác, sử dụng các ứng dụng dùng chung không mật của các cơ quan đảng trên mạng Internet; và sử dụng đường truyền kết nối mạng Internet có tốc độ tối thiểu 500 Mbps của các nhà cung cấp dịch vụ như: VNPT, Viettel, FPT...

- Sơ đồ kết nối như sau:

Hình 3. Mô hình mạng Internet cấp tỉnh

- Mô tả sơ đồ và nguyên tắc hoạt động

Mạng Internet của tỉnh ủy, thành ủy bao gồm các phân vùng cụ thể như sau:

+ Zone Outside (vùng mạng biên): Đây là vùng mạng được thiết lập để kết nối ra Internet bao gồm thiết bị tường lửa (Firewall) để bảo vệ các máy trạm của người dùng.

+ Zone Server (vùng máy chủ): Là nơi triển khai các máy chủ cài đặt dịch vụ hệ thống hoặc các ứng dụng phục vụ cho nội bộ trong tỉnh.

+ Zone LAN (vùng máy trạm): Là nơi kết nối các máy trạm của người dùng tỉnh ủy, thành ủy để kết nối ra Internet khai thác Internet hoặc các ứng dụng dùng chung trên Trung ương.

2.3. Mô hình mạng cấp xã, phường (gọi chung là cấp xã)

Mạng cấp xã gồm có mạng nội bộ (Intranet) và mạng Internet

a) Mạng nội bộ (Intranet) được sử dụng để truyền tải, lưu trữ các văn bản có độ mật: Thường, mật và tối mật.

+ Sơ đồ mạng nội bộ như sau:

Hình 4. Mô hình mạng Intranet cấp xã

+ Mô tả sơ đồ và nguyên lý hoạt động: Các máy tính nội bộ được kết nối với nhau, sau đó kết nối tới cấp tỉnh và Trung tâm dữ liệu của Đảng qua đường truyền số liệu chuyên dùng có sử dụng thiết bị bảo mật.

b) Mạng Internet cấp xã

+ Sơ đồ kết nối như sau:

Hình 5. Mô hình mạng Internet cấp xã

+ Mô tả sơ đồ và nguyên tắc hoạt động: Gồm các máy tính kết nối với mạng Internet để khai thác, sử dụng các ứng dụng dùng chung không mật của các cơ quan đảng trên mạng Internet; và sử dụng đường truyền kết nối mạng Internet có tốc độ tối thiểu 300 Mbps của các nhà cung cấp dịch vụ như: VNPT, Viettel, FPT...

2.4. Về hạ tầng kết nối mạng

- Bảo đảm mạng truyền số liệu chuyên dùng kết nối thông suốt từ Trung ương đến cấp tỉnh - xã.

- Về đường truyền dữ liệu của mạng Intranet từ Trung ương đến các cấp: Sử dụng đường truyền số liệu chuyên dùng, đầu mối phối hợp triển khai là Cục Bưu điện Trung ương, Bộ Khoa học và Công nghệ; đầu mối triển khai các giải pháp bảo mật là Cục Cơ yếu Đảng - Chính quyền, Ban Cơ yếu Chính phủ.

- Băng thông mạng Intranet: Băng thông tối thiểu với cấp tỉnh là 50 Mbps, với cấp xã là 10 Mbps.

3. Về nền tảng và dữ liệu số

3.1. Sao lưu, đóng gói và bàn giao dữ liệu

- Thời điểm: Trước khi tiến hành giải thể, chia tách hoặc sáp nhập ít nhất 5 ngày.

- Các bước thực hiện:

1) Rà soát toàn bộ dữ liệu lưu trữ trên máy chủ, máy trạm, thiết bị lưu trữ, thư điện tử công vụ.

2) Sao lưu, đóng gói toàn bộ dữ liệu.

3) Tạo bảng thống kê dữ liệu theo từng chuyên mục (VD: Hồ sơ cán bộ, văn bản điều hành,...).

4) Sao chép dữ liệu sang ổ cứng ngoài, bảo đảm an ninh, an toàn thông tin theo quy định.

5) Bàn giao cho bộ phận lưu trữ theo Công văn số 14514-CV/VPTW, ngày 25/4/2025, có biên bản giao nhận kèm theo danh mục dữ liệu.

3.2. Chuyển đổi, tích hợp hệ thống thông tin

- Thời điểm: Hoàn thành trước thời điểm cơ quan, tổ chức mới chính thức đi vào hoạt động.

- Các bước thực hiện:

1) Lập danh mục tất cả các hệ thống đang sử dụng: Hệ thống văn thư điện tử, quản lý văn bản, phần mềm cán bộ, hồ sơ đảng viên,...

2) Đối chiếu với hệ thống thông tin dùng chung của Đảng và hệ thống ngành dọc của các cơ quan trung ương để xác định:

✓ Hệ thống giữ lại (là hệ thống chính thức).

✓ Hệ thống ngừng sử dụng.

✓ Dữ liệu cần chuyển sang hệ thống chính thức.

3) Thực hiện chuyển đổi dữ liệu

✓ Sử dụng công cụ chuẩn hóa và làm sạch dữ liệu (gắn với công cụ chuẩn hóa và làm sạch dữ liệu của từng hệ thống thông tin chuyên ngành do các cơ quan trung ương chuyển giao).

✓ Gắn thẻ, phân vùng dữ liệu theo cơ quan, tổ chức (Cập nhật mã định danh đơn vị mới theo Quyết định số 3735-QĐ/VPTW, ngày 17/4/2025).

✓ Kiểm tra tính đầy đủ và khớp nội dung sau chuyển đổi.

4) Ngừng khai thác hệ thống cũ, sao lưu và lưu trữ theo quy định.

3.3. Triển khai các phần mềm, ứng dụng mới theo đề án Chuyển đổi số do các cơ quan trung ương chuyển giao

1) Sử dụng công cụ chuẩn hóa và làm sạch dữ liệu.

2) Gắn thẻ, phân vùng dữ liệu theo cơ quan, tổ chức (Cập nhật mã định danh đơn vị mới theo Quyết định số 3735-QĐ/VPTW, ngày 17/4/2025).

3) Sao lưu và lưu trữ theo quy định.

4. Về bảo đảm an toàn thông tin

Thực hiện Quyết định số 204-QĐ/TW, các tỉnh ủy, thành ủy sẽ tự triển khai các hệ thống thông tin, ứng dụng đặc thù của địa phương để phục vụ nội bộ trong toàn tỉnh. Do đó để bảo đảm an toàn thông tin, an ninh mạng theo Nghị định số 85/2016/NĐ-CP, ngày 01/7/2016 của Chính phủ thì khi xây dựng hệ thống tại tỉnh đề nghị các tỉnh xác định cấp độ an toàn thông tin của hệ thống tài cấp tỉnh là "Cấp độ 3".

Để bảo đảm an toàn, an ninh thông tin trong triển khai ứng dụng công nghệ thông tin, chuyển đổi số cần triển khai mô hình ba lớp: (1) Bảo đảm an toàn thông tin hệ thống mạng. (2) Bảo đảm an toàn thông tin ứng dụng, dữ liệu. (3) Bảo đảm an toàn thông tin thiết bị đầu cuối.

4.1 Bảo đảm an toàn thông tin hệ thống mạng

- Bảo vệ thông tin về mặt vật lý: Nên lắp đặt các thiết bị phòng cháy, chữa cháy, điều hòa nhiệt độ, độ ẩm, nguồn điện dự phòng, bảo trì thiết bị và sao lưu dữ liệu thường xuyên. Có chính sách quản lý truy cập vật lý để chỉ những người được quyền mới có thể vào các khu vực quan trọng như phòng máy chủ, hệ thống mạng, điện lưới.

- Bảo đảm an toàn thông tin trong quá trình lưu thông và truyền tin: Chia nhỏ mạng thành các mạng phân vùng nhỏ để giảm thiểu rủi ro khi có sự cố xảy ra. Kiểm soát chặt chẽ các luật trên tường lửa (firewall) để kiểm soát lưu lượng truy cập vào và ra khỏi mạng.

- Triển khai (hoặc thuê dịch vụ) hệ thống giám sát an toàn thông tin (SOC).

4.2. Bảo đảm an toàn thông tin (ATTT) ứng dụng, dữ liệu

- Định kỳ 6 tháng (hoặc 1 năm) thực hiện kiểm tra, rà soát các điểm yếu bảo mật, lỗ hổng ứng dụng trong quá trình sử dụng.

- Thực hiện đánh giá ATTT các ứng dụng trước khi đưa vào sử dụng.

- Thường xuyên tập huấn, trao đổi cho quản trị viên, người sử dụng cách phòng tránh và nâng cao ý thức bảo đảm an toàn, an ninh thông tin.

4.3. Bảo đảm an toàn thông tin thiết bị đầu cuối

Thiết bị đầu cuối tại các tỉnh ủy, Thành ủy, xã, phường kết nối mạng Intranet hoặc Internet được triển khai các giải pháp an toàn, an ninh thông tin bao gồm:

(1) Giải pháp phòng, chống mã độc (antivirus): Hoạt động theo mô hình client/server, quản lý tập trung thống nhất.

(2) Giải pháp phát hiện và ứng phó mối đe dọa đầu cuối (EDR): Cho phép phát hiện, phân tích và phản ứng với các mối đe dọa bảo mật tại các điểm cuối của hệ thống, hoạt động theo mô hình client/server, quản lý tập trung thống nhất.

(3) Giải pháp chống thất thoát dữ liệu (DLP): Là giải pháp bảo mật giúp xác định và ngăn chặn việc chia sẻ, truyền hoặc sử dụng dữ liệu nhạy cảm không an toàn hoặc không phù hợp, hoạt động theo mô hình client/server, quản lý tập trung thống nhất.

4.3.1. Mạng Intranet sử dụng để truyền tải, lưu trữ dữ liệu có độ mật: Thường, mật và tối mật.

a) Giải pháp phòng, chống mã độc (diệt virus)

i) Đối với cấp tỉnh

- Các máy chủ sử dụng giải pháp phòng, chống mã độc tại Trung ương do Bộ Tư lệnh 86 chuyển giao hoặc sử dụng bản quyền hiện có tự mua.

- Các máy trạm sử dụng các bản quyền diệt virus hoặc dùng bản kèm theo hệ điều hành (defender). Khi đề án Chuyển đổi số trong các cơ quan đảng hoàn thành toàn bộ sẽ sử dụng hệ thống diệt virus tập trung tại Trung ương.

ii) Đối với cấp xã

Các máy trạm sử dụng các bản quyền hiện diệt virus hoặc dùng bản kèm theo hệ điều hành (defender). Khi đề án Chuyển đổi số trong các cơ quan đảng hoàn thành sẽ sử dụng hệ thống diệt virus tập trung tại Trung ương.

b) Giải pháp phát hiện và ứng phó mối đe dọa đầu cuối EDR

i) Đối với cấp tỉnh

- Các máy chủ sử dụng giải pháp phát hiện và ứng phó mối đe dọa đầu cuối tại Trung ương do Bộ Tư lệnh 86 chuyển giao hoặc sử dụng bản quyền hiện có.

- Các máy trạm sử dụng giải pháp phát hiện và ứng phó mối đe dọa đầu cuối tại Trung ương do Bộ Tư lệnh 86 chuyển giao hoặc sử dụng bản quyền hiện có tự mua. Khi đề án Chuyển đổi số trong các cơ quan đàng hoàn thành sẽ sử dụng giải pháp EDR tập trung tại Trung ương.

ii) Đối với cấp xã

Các máy trạm sử dụng giải pháp phát hiện và ứng phó mối đe dọa đầu cuối tại Trung ương do Bộ Tư lệnh 86 chuyển giao. Khi đề án Chuyển đổi số trong các cơ quan đảng hoàn thành sẽ sử dụng giải pháp EDR tập trung tại Trung ương.

4.3.2. Mạng Inernet sử dụng để truyền tải, lưu trữ dữ liệu không mật

a) Giải pháp phòng, chống mã độc (diệt virus)

Các máy chủ tại cấp tỉnh, các máy trạm tại cấp tỉnh và cấp xã sử dụng các bản quyền diệt virus hoặc dùng bản kèm theo hệ điều hành (defender).

b) Giải pháp phát hiện và ứng phó mối đe dọa đầu cuối EDR

Hiện nay các máy chủ tại cấp tỉnh, các máy trạm tại cấp tỉnh và cấp xã chưa sử dụng giải pháp phát hiện và ứng phó mối đe dọa đầu cuối. Khi đề án Chuyển đổi số trong các cơ quan đảng hoàn thành sẽ sử dụng giải pháp phát hiện và ứng phó mối đe dọa đầu cuối do Bộ Tư lệnh 86 chuyển giao.

5. Về hệ thống trực tuyến

5.1. Cấp tỉnh

- Triển khai hệ thống hội nghị trực tuyến từ cấp tỉnh đến cơ sở phù hợp với mô hình tổ chức mới trên mạng Intranet của tỉnh ủy, thành ủy có cấp độ mật: Thường, mật, tối mật.

- Rà soát, đánh giá hiện trạng hệ thống trực tuyến, sử dụng, thuê hoặc mua bổ sung thiết bị, phần mềm để sử dụng hiệu quả hệ thống trực tuyến theo tiêu chuẩn trong Quy định số 157/QĐ-BTTTT, ngày 28/01/2022 của Bộ Thông tin và Truyền thông về ban hành Bộ tiêu chí yêu cầu kỹ thuật tối thiểu nền tảng họp trực tuyến. Hệ thống trực tuyến có khả năng ghi âm, ghi hình các cuộc họp khi có yêu cầu.

- Khi có yêu cầu kết nối cuộc họp trực tuyến từ Trung ương tới Tỉnh ủy, thành ủy và cơ sở: Thực hiện kết nối chuyển tiếp tín hiệu hai chiều (cascade hệ thống) giữa hệ thống MCU nội tỉnh với hệ thống MCU Trung ương.

- Khi tham gia các phiên họp với cơ quan, đơn vị ngoài hệ thống thì sử dụng đường truyền khác.

- Phòng họp trực tuyến được trang bị ít nhất 1 codec, 1 camera, 2 màn hình và hệ thống âm thanh.

5.2. Cấp xã

- Thiết lập, xây dựng phòng họp trực tuyến tại xã.

- Kết nối trực tuyến các phiên họp nội tỉnh hoặc kết nối với hệ thống trực tuyến của Trung ương.

- Phòng họp trực tuyến được trang bị ít nhất 1 codec, 1 camera, 2 màn hình và hệ thống âm thanh.

6. Về việc kiểm tra an ninh

- Tất cả các thiết bị công nghệ thông tin trước khi đưa vào sử dụng phải được kiểm tra an ninh.

- Đơn vị kiểm tra an ninh: Các địa phương phối hợp với đơn vị PA06 hoặc A06, Bộ Công an để thực hiện kiểm tra đo phát sóng, tín hiệu.

7. Về bảo đảm nguồn nhân lực

- Rà soát, đánh giá năng lực cán bộ quản trị mạng tại đơn vị mới hình thành sau sáp nhập; sắp xếp bố trí Lãnh đạo Phòng Chuyển đổi số - Cơ yếu có đủ năng lực và trình độ chuyên môn phù hợp, đáp ứng yêu cầu nhiệm vụ.

- Tổ chức các lớp tập huấn sử dụng cho người dùng.

8. Triển khai thiết bị bảo mật

Mục tiêu:

- Người dùng tỉnh ủy sử dụng được ứng dụng dùng chung tại Trung ương qua đường Mật.

- Người dùng tỉnh ủy sử dụng được các ứng dụng riêng tại Trung tâm dữ liệu tỉnh.

Yêu cầu:

Có Switch Layer 3 để sử dụng cho kết nối các phân vùng mạng.

Tường lửa còn cổng để thêm một Zone mới cho thiết bị bảo mật.

Các bước thực hiện:

Bước 1: Đặt địa chỉ WAN của BML là 10.(100+x).0.226/29; Địa chỉ LAN của BML là 10.x.0.1 (Ban Cơ yếu đã thực hiện).

Bước 2: Thêm mới Zone có tên BML trên FW có địa chỉ là 10.(100+x).0.225/29 để kết nối với WAN của BML. Đổi địa chỉ IP Zone WS thành 10.x.102.1/24 (để kết nối với VLAN 102 trên SW).

Bước 3: Cấu hình Switch Layer 3:

Tạo VLAN (có ID 30) cho người dùng (nếu chưa có) để kết nối với các switch access của người dùng.

Chọn một cổng trên Switch L3 để kết nối với switch người dùng đưa cổng đó vào VLAN 30.

Đặt Interface VLAN 30 có IP là 10.x.1.1/24

Tạo VLAN (có ID là 101) để kết nối với LAN của thiết bị bảo mật.

Chọn một cổng trên Switch đó để kết nối với LAN của thiết bị bảo mật và đưa cổng đó vào VLAN 101 vừa tạo.

Đặt Interface VLAN 101 có IP là 10.x.0.2/24

Tạo VLAN 102 kết nối Switch L3 với Firewall

Đặt Interface VLAN 102 có IP là 10.x.102.2/24

Tạo IP Routing tại SW L3:

Các địa chỉ của TW là 10.100.0.0/16 đi qua BML có ip 10.x.0.1

Tất cả còn lại đi ra tường lửa có địa chỉ 10.x.102.1

Bước 4: Trên Zone BML tạo rule cho phép địa chỉ 10.(100+x).0.226 kết nối đến 10.100.253.0/24 qua các cổng: UDP 500 và UDP 4500; TCP 10068 và 10069

Bước 5: Kiểm tra kết nối đường rõ

Cắm máy tính vào cổng FW dành thuộc zone BML.

Đặt IP máy tính là 10.(100+x).0.226/29 Gateway là 10.(100+x).0.225

Ping tới địa chỉ 10.100.253.1 hoặc 10.100.253.5 nếu thấy reply là thành công

Lắp đặt thiết bị BML-100 theo mô hình kết nối.

Kiểm tra kết nối mật.

Login cổng WAN thiết bị BML, gõ lệnh ipsec status trên thiết bị BML, để kiểm tra kết nối ipsec. Kết nối như hình sau là thành công

Kiểm tra kết nối bảo mật bằng cách từ máy tính người dùng ping đến địa chỉ 10.100.252.2 nếu reply thì kết nối đến ứng dụng https://dhtn.dcs.vn để sử dụng.