на 65х/76 (SXI, SRD ветки) работает нормально: syslog, snmp, telnet, ssh, tacacs, ntp.
NetFlow - не проверял.
на GSR c иос - tacacs в vrf не умеет.
А по поводу дизайна - менеджмент в врф это просто удобно , особенно если есть кроме опорной сети и другое оборудование - УПСы и тп., в GRT им делать нечего, и если NMS тоже в врф, притом в другом. Но и через GRT доступ надо оставлять, просто для того, чтобы с железки на железку можно было попасть без проблем.
Абонентский трафик тоже весьма желательно в врф запихать.
У нас вот например в GRT кроме igp, распостаняющего адреса loopback железок и нет ничего.
