не знаю как правильно
А я для анализа ACL использую
batfish
ну и самописную тулзу обертку для удобства работы с ним
в которой реализовал всего две необходимые мне функции
1. проверяет пройдет ли пакет с заданными 5tuple (src ip, src port, dst ip, dst port, proto) через сеть или нет и благодаря какому правилу
2. ищет ACE которые никогда не сработают
батфиш умеет это делать сам. Достаточно скормить ему конфиги устройств и вызвать нужные функции
И только что проверил. ObjectGroups он понимает
вот пример:
