iddqda

выделить отдельный гостевой SSID приземляющий пользователей в отдельный изолированный влан с доступом только в интернет
вайфай с доступом в локалку реализовать через EAP/TLS для чего на убунте настроить freeradius
в локалке выделить сервера в отдельный влан
про unifi router ничего не знаю, беглый гуглеж обнаружил некий USG - unifi security gateway
если это оно то судя по его названию все политики безпасности дальше пилить на нем
отдельные политики реализовывать на сервисах т.е. 1с фтп и тп

кстати зачем фтп? оно было неудобно еще в 90-е
на ту же убунту водрузи nextcloud

з.ы. фтп, 1с и 90 юзеров ... в таком месте отдельный инфбезопасник застрелится от скуки

интересный кейс, но без картинки и адресов сложно представить что там реально происходит
какой тип линка между ABR (broadcast?) и в какой он зоне?
и странно что не разруливается костами на тунелях. значит тунели нестабильны.
может у тебя endpoint-ы тунелей тоже в оспф анонсятся? тогда неудивительно что при их суммировании происходит бардак

Используется например чтоб сообщить WiFi точкам адрес контроллера
или телефонам адрес сервера провизионинга

вот тут исходники знаний про эти штуки:

Option 43 (Vendor Specific Information)
https://tools.ietf.org/html/rfc2132#section-8.4

Option 60 (Vendor class identifier)
https://tools.ietf.org/html/rfc2132#section-9.13

кстати если в сети только один тип устройств, которые используют option43 то option60 можно не прописывать
например если есть только IP-телефоны и нет WiFi точек или наоборот

не знаю как правильно
А я для анализа ACL использую batfish
ну и самописную тулзу обертку для удобства работы с ним
в которой реализовал всего две необходимые мне функции
1. проверяет пройдет ли пакет с заданными 5tuple (src ip, src port, dst ip, dst port, proto) через сеть или нет и благодаря какому правилу
2. ищет ACE которые никогда не сработают

батфиш умеет это делать сам. Достаточно скормить ему конфиги устройств и вызвать нужные функции
И только что проверил. ObjectGroups он понимает

вот пример: