Ой, братие, чой-то вы не в ту тундру ушли...Изначально цель была, как я понимаю, организовать просто отдельную изолированную сеть. Типа классической DMZ... И далее мы видим, как благое желание "сделать красиво" выродилось в реализацию "через ass автогеном". =)_) Нет, конечно, в порядке эксперимента прокачать своё кунг-фу новым vrf-до - дело святое, но... ;)
Ну не понимаю я красоты в виртуальном роутере с одним-единственным интерфейсом.
То есть достаточно было создать ещё один подынтерфейс с dot1Q и как бы всё.
А сделать красиво и сертифицированно - бери две ASA в failover'e и рисуй там аклы-наты-вланы. =)))