ACL: разрешить доступ только в интернет

[SkyMan]

Здравствуйте! Помогите пожалуйста!
MES3324F

Код: Выделить всё

interface vlan 3
name Users
ip address 192.168.3.1 255.255.255.0
interface vlan 4
name Internet
ip address 192.168.4.1 255.255.255.0
interface vlan 5
name Servers
ip address 192.168.5.1 255.255.255.0

Юзеры сидят в 3 влане, серверы (DNS, DHCP и пр.) в 5 влане, шлюз для выхода в интернет в 4 влане (192.168.4.2).
Хочу навесить ACL на 3 влан и запретить все, кроме выхода в интернет.
Как это сделать?

[Евгений Т]

Добрый день.
Распишите подробнее какой трафик и какие диапазоны ip адресов следует запретить.

[SkyMan]

Нужно из диапазона 192.168.3.0/24 запретить абсолютно весь трафик в сети 192.168.4.0/24 и 192.168.5.0/24 за исключением запросов DHCP, DNS и интернет шлюза. Как-то так.

[Евгений Т]

Чтобы запретить подсети 192.168.4.0/24 и 192.168.5.0/24, требуется создать такой acl:
ip access-list extended test
deny ip any 192.168.3.0 0.0.0.255
deny ip any 192.168.4.0 0.0.0.255
permit ip any any
exit
и привязать его в порту командой
service-acl input test