光纤外网连接网御神州3600防火墙,从防火墙连到h3c的5120-si 24口交换机,交换机上已经做了3个vlan,1-8口为vlan1只能上内网,18-16口为vlan2上外网,17-24口为vlan3要求可以同时连接内外网,vlan1和vlan2之间不能互相访问,我知道这样做很傻,根本起不到安全作用,可是客户一定要这样要求,怎样才能实现这种功能,连在vlan3上的机器可以同时连接内外网,而连在vlan1和vlan2的机器老老实实的在自己的网络内带着不能相互访问,是在防火墙上设置还是在交换机上设置?还有绝对不能添加其他网络设备。如果可以的话,怎样设置,越详细越好,真的很头疼。很急的事情,谢谢了。有思路也可以提供参考。没用的就别说了。再次感谢!