2 NIC по сравнению с NAT для представления сервера
Нет. POE будет только предоставлен устройствам, которые непосредственно подключены к переключателю POE, и только запросом.
Стандарт, по которому это работает, описан здесь: http://en.wikipedia.org/wiki/Power_over_Ethernet#Standard_implementation
Я бы не стал использовать NAT, если есть другое решение. И ваша ситуация выглядит так, будто с ней можно справиться без использования NAT. Если ваш брандмауэр имеет три сетевых интерфейса, это должно быть довольно просто.
Вы назначаете один публичный IP-адрес внешнему интерфейсу на брандмауэре, а другой публичный IP-адрес назначаете серверу внутри DMZ. Брандмауэру нужен статический маршрут, сообщающий ему, что IP-адрес этого сервера напрямую подключен к интерфейсу DMZ. В зависимости от конфигурации сети на стороне WAN брандмауэра вам может также потребоваться настроить брандмауэр для ответа на запросы ARP от имени сервера.
Наконец, необходимо настроить брандмауэр так, чтобы трафик между общедоступным IP-адресом сервера и другими хостами никогда не передавался через NAT, независимо от того, находится ли другой IP-адрес в локальной сети или в Интернете. Вы все равно можете захотеть, чтобы брандмауэр применил некоторую фильтрацию трафика с отслеживанием состояния, но это выходит за рамки этого вопроса.
После этого пакеты из локальной сети на сервер будут достигать брандмауэра и перенаправляться в DMZ без любой NAT, аналогично пакеты из Интернета также будут перенаправлены в DMZ без какого-либо NAT.
Сервер может устанавливать соединения с Интернетом, не проходя через NAT, кроме того, он может устанавливать соединения с LAN (если это разрешено межсетевым экраном так), и это тоже не пройдет через NAT.
Пакеты между локальной сетью и сервером будут использовать маршрут по умолчанию для достижения брандмауэра, и у брандмауэра будут определенные маршруты к каждой конечной точке, поэтому он сразу знает, на каком интерфейсе пересылать пакеты. Никаких уловок, чтобы заставить эту деталь работать.