[Comm] Маршрутизация, IP, IPX, разделение доступа

[Eugene Prokopiev]

Здравствуйте!

Есть на предприятии сеть, состоящая из 6 сегментов. В каждом живет своя 
IP-подсеть, общаются они с помощью 2-х маршрутизаторов на Netware 3, 
кроме того, в сети живет IPX и Net.

Что хочется сделать:
1. Включить все сегменты в один маршрутизатор
2. Обеспечить во всех сегментах стандартный набор сервисов: DHCP, DNS, WINS
3. По умолчанию запретить общаться друг с другом машинам из разных сегментов
4. Иметь возможность описывать правила вида (для IP и IPX):
  - машина А может общаться с машиной В из другого сегмента и наоборот
  - машина С может общаться со всеми машинами сегмента D и наоборот

Как это планируется сделать:
1. Связка Linix (поддержкой vlan) + Catalist (как описано в 
http://gazette.linux.ru.net/rus/articles/talelinuxvlan.html). Как я 
понял, главный плюс этого решения - отсутствие необходимости вешать на 
шлюз кучу сетевых карт (если есть коммутатор :) ). Нынешние сегменты 
станут vlan-ами, но портов, включенных в несколько vlan-ов, не будет, 
ибо  незачем.
2. На линуксовом шлюзе поселятся dhcpd, bind, nmbd, ipxripd
3. Права доступа будут описаны средствами ebtables 
(http://ebtables.sourceforge.net/), как-то я их уже собирал и на простой 
кофигурации все работало.

Какие соображения может высказать community на эту тему? Есть ли 
альтернативные решения, чем указанное хуже/лучше?

-- 
С уважением, Прокопьев Евгений