Наилучший вариант для имитации коммутатора Ethernet (уровня 2) на типичном коммутаторе / маршрутизаторе уровня 3 Ethernet?

У меня есть два сервера Linux, которые будут подключены к типичному коммутатору / маршрутизатору l3. Им обоим будет назначен один публичный IP-номер для каждого (скажем, pub.ip.n.1 и pub.ip.n.2) ИТ-отделом.

Q1: Какой самый лучший (самый простой) способ получить функциональность:

1. рабочая интернет-маршрутизация (в / из pub.ip.n.1 и pub.ip.n.2)

2. любая подсеть, которую я определяю на интерфейсах серверов (скажем, 10.1.1.1/24), будет передавать трафик между серверами. Добавление / удаление подсети должно быть только задачей администратора сервера, без необходимости администрирования маршрутизатора.

3. эти определенные подсети не будут вообще маршрутизироваться и никоим образом не взаимодействовать с другой определенной / назначенной подсетью.

4. Нет необходимости в маршрутизации /NAT на стороне маршрутизатора, брандмауэры будут управляться в Linux.

С теоретической точки зрения и после некоторого прочтения, мне кажется, что это может быть сделано:

а) настроить VLAN на обоих портах

b) установить pub.ip.n.1 и pub.ip.n.2 для каждого порта / назначить pub.ip.n.1 / .2 и.gw для VLAN.

c) разрешить прохождение всего трафика Ethernet уровня 2 между портами

d) запретить любой IP-трафик (кроме pub.ip.n.1, pub.ip.n.2 pub.ip.n.gw) входить / выходить из vlan.

Вопрос 2: Нужен ли для этого какой-либо сложный маршрутизатор или он должен быть возможен на современном оборудовании серверной комнаты?

С уважением, заранее спасибо!