Ограничение доступа по беспроводной vlan

У нас есть 2 беспроводные сети настроить с помощью vlan в системе точек доступа HP Wireless.

Первый предназначен для персонала, и использует радиус WPA2 + для аутентификации на нашем сервере AD и помещает пользователя в vlan 1

Второй предназначен для гостей, использует простое шифрование WEP и помещает пользователя на vlan 2

В настоящее время обе беспроводные сети предоставляют полный доступ к нашей внутренней сети.

Какой лучший / самый простой способ ограничить гостевую беспроводную сеть исходящим Интернетом только доступ?

(и какая дополнительная информация вам нужна, чтобы дать хороший ответ?)

Дополнительная информация

Наша сеть совмещена с серверами у нашего интернет-провайдера и внутри нашего офиса.
Наш внешний брандмауэр расположен в месте расположения нашего интернет-провайдера, так как весь интернет-трафик проходит через него. Маршрутизаторы Cisco в обоих местах
трафик между ними отправляется через Cisco
Все наши беспроводные точки доступа подключены к коммутаторам HP или Cisco (с поддержкой vlan) во внутренней сети.
исходящий интернет-трафик проходит через наши пограничные коммутаторы к маршрутизатору Cisco в офисе, к маршрутизатору Cisco у нашего интернет-провайдера, а затем по всему миру.

Установите брандмауэр между точкой доступа и внутренней сетью и разрешите доступ к внутренней сети только в том случае, если трафик исходит из vlan 1.