John_Alban

По-сути если и получите ускорение, оно будет незначительно.. еще важно понять, какой трафик идет внутри сети. Главная же разница - ovs обсчитывает flow трафика, прежде чем начать его коммутацию (т.е. возникает дополнительная задержка в момент начала передачи потока данных), а bridge просто молотит по forward-таблице. В итоге, если трафик достаточно гладкий (например, интерконнекты между серверами), то разницы и не будет. Если же трафик с большим количество новых flow в секунду, то можно выиграть по ресурсам как минимум

Никак. Можно попробовать пулы выше, но вы сами упомянули CDN.. Если только написать скрипт, который по cron'у будет делать nslookup, потом определять по whois пул адресов и прописывать это всё в iptables (или какой у вас там fw)

Если нужно решение уровня packet-tracer для чисто лабораторного стенда, то просто пропишите статику на каждый сервер, одной из статик поставьте вес побольше.

1. Включаем режим здоровой паранойи и забываем голый tftp/ftp
3. Сохраням текущий конфиг, копируем его на комп.
Готовим файл изменения конфига. Вбиваете в него команды, как будто вы находитесь в консоли и конфигурируете железку в config-mode. Т.е., если хотите изменить ip на интерфейсе, пишите:
int gig1/0/1
no ip add
ip add 1.1.1.1 255.255.255.252
если изменить маршрут:
no ip route
ip route $чтототам
Думаю, вы поняли. Главное, предвидеть, как ASA отреагирует на команды и не забыть это учесть в файле.
2. ASA должна поддерживать scp. Вот гайд, как настроить и закинуть файл изменения конфига
3. На случай ошибки и потери доступа планируем ребут через 10мин:
# reload in 10
4. Просто активируем изменения:
#(config) copy flash:changes.txt running-config
5. Проверяем результат. Если неудачно, ASA перезагрузится на старом startup-конфиге и можно будет исправить ошибки и повторить процедуру.
Если же по какой-то причине scp не заработает, можно сделать копирование файла изменений по tftp через easyVPN (который нужно будет поднять между рабочей станцией и ASA), но это уже другая история

Итак, симтомы проблемы я устранил.
Изначально ACL для отбора было таким:
!
permit udp object-group ext_hosts range 49152 65535 object-group int_hosts range 3784 3785
!
Собственно, возникла идея поиграть с условиями и я убрал ограничение по адресам. ACL превратился в:
!
permit udp any range 49152 65535 any range 3784 3785
!
И все заработало! Но вопрос все равно открыт - устранился симптом, почему ASR не обрабатывает условие по ip-заголовкам - непонятно. Баг или особенность обработки host-inbound трафика на IOS-XE?

UPD: Весь сыр-бор возник из-за того, что внутри ACL для cef-exception трафика не работают object-groups. Для остального host-inbound трафика они работают.
Если вместо object-groups напрямую писать ip-адреса, то все работает как надо.