> Остальные 2(хх.хх.хх.123,хх.хх.хх.124 ) проброшены на коммутатор при помощи ip unnumbered

Линковочных адресов /30 нет?

> interface GigabitEthernet0/2.101
>  ip policy route-map SFT
> interface GigabitEthernet0/2.102
>  ip policy route-map SFT
> access-list 2 permit xx.xx.xx.120 0.0.0.7
> route-map SFT permit 200
>  match ip address 2
>  set ip next-hop xx.xx.xx.121
> !

Не работает из-за этого.
Пакеты до хостов с реальными IP доходят, а обратно роутером принудительно отправляются к провайдеру, который о ваших внутренних сетях ничего не знает. В полиси нужно использовать extended ACL и вначале должны идти исключения (deny) для локального траффика.

Ну и PBR это большой привет процессору. Если там будет реальный траффик - проц загнется.

ЗЫ: Ну и как правильно заметили, лучше не изобретать велосипед. Суете линк с провайдером в вилан, и приземляете в нем хосты с реальным IP наравне с роутером.