Привет Всем!!!
Возникла небольщая проблеммка, всилу сложившихся обстоятельств перешли на новую железку, в результате сделали так что к провайдеру создали сетку с маской 252(interface F0/0) а за этой сеткой на интерфейсе F0/1 крутятся еще 2 пула с внешними ip + клиенты с NAT

                        INET-------------F0/0(3745)F0/1---------local

Вот собственно конфиг
!
interface FastEthernet0/0

no ip address

ip flow ingress

duplex auto

speed auto

no cdp enable

no mop enabled

!

interface FastEthernet0/0.226

description ptp_to_ISP

encapsulation dot1Q 226

ip address 1.1.1.2 255.255.255.252

ip flow ingress

ip virtual-reassembly

no cdp enable

!
interface FastEthernet0/1

description to_switch

no ip address

ip flow ingress

ip route-cache policy

speed auto

full-duplex

no cdp enable

no mop enabled

!

interface FastEthernet0/1.7

description  clinet1

encapsulation dot1Q 7

ip address 192.168.1.1 255.255.255.248

ip nat inside
no cdp enable
!
interface FastEthernet0/1.17

description NAT

encapsulation dot1Q 17

ip address 2.2.2.2 255.255.255.240

ip flow ingress

no cdp enable

!
ip route 0.0.0.0 0.0.0.0 1.1.1.1
ip nat pool NAT 2.2.2.2 2.2.2.2 netmask 255.255.255.240  
ip nat inside source list 101 pool NAT overload
!
access-list 101 permit ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip 192.168.1.0 0.0.0.255 any
!
Необходимо чтобы клиенты находящиеся на подинтерфейсе FastEthernet0/1.*  натились в ip адрес 2.2.2.2 а потом роутились на 1.1.1.1.
Вопросы:
1) Можно или Нужно  прописать ip nat outside на interface FastEthernet0/1.17  
2) Обязательно ли прописывать ip nat outside на физическом интерфесе который смотрит в интренет?(в моем случае interface FastEthernet0/0.226 )
3) Или существует какойто 3й вариант реализации?
Заранее СПАСИБО! :-)