> Правильно я понимаю, что так сделать будет правильнее?
> Канал с внешним IP входит в 2960 делится на 3 влана, создаем
> 3 саба, присваеваем например vlan100, vlan101, vlan102 и далее тот который
> для локалки(где нужен нат) пропускаю через маршрутизатор и возвращаю на этот
> же коммутатор, а остальные соответственным вланам?

Зачем? Вы понимаете что такое бродкастовый домен?
У вас провайдер предоставляет подсеть из 4 IP (маска 29 бит), один из которых шлюз с IP хх.хх.хх.121, который находится на стороне провайдера. У вас остаются 3 рабочих IP. Один вы используете под внешний интерфейс Cisco. Оставшиеся 2 можно использовать для NAT или для других устройств (www, smtp сервера или еще под что-то).

> Если понадобится какой-то из ip прокинуть через роутер(например появится внутренняя сеть
> которую нужно будет натить в интернет через другой ip) как лучше
> это сделать? использовать сабинтерфейсы с теми же вланами?
> Для чего нужен ip unnumbered? для того, чтобы раздать нескольким пользователям прямые
> ip при этом не выделяя каждому, например, 30 подсеть ? Тоесть
> чтобы заработала представленная мной конфига нужен еще один ip из этой
> 29 сети и поставить локалку за него?
> В локалке всего 40 пользователей, хочу понять как лучше использовать эти пушки.

Найдите на сайте cisco тему про NAT на маршрутизаторах.
Если пользователю нужен будет внешний IP - либо запихиваете его в VLAN в котором у вас будет так-же работать внешний интерфейс вашего маршрутизатора, либо строите ему NAT 1:1 на внешний IP на Cisco.