Como os IPs vêm do mesmo ISP, você pode simplesmente aplicar os endereços do novo bloco aos MIPs na interface não confiável existente. Você não precisa definir uma segunda interface física.
Isso funciona porque o Netscreen também é um roteador.
Assim, quando o mundo quiser enviar pacotes para o novo bloco, o ISP enviará ARP para o IP no novo bloco, e seu Netscreen responderá.
Quando o Netscreen precisa enviar pacotes de volta para o resto do mundo a partir de um IP no novo bloco, ele usará o roteador padrão do bloco existente; o ISP deve aceitar esse tráfego.
Isso não é intuitivo, mas funciona.