iddqda

1. для похожей задачи использую batfish https://www.batfish.org/ (но в микротик не умеет)
сделал небольшой бекенд на фастапи который дергает нужные методжы batfish, а вместо фронта набросал чат-бота
2. что входит и выходит определяется маршрутизацией. к аксесс-листам отношения не имеет (или я не понял вопроса)
3. для отслеживания изменения не в листах но и конфигах использую oxidized (+librenms)

теоретически да можно
вот с такой штукой Cisco Services-Ready Engine

это по сути компьютеры выполненные в виде модуля
туда ставишь линух и опенвпн/вайргард сервисы и вуаля

а что касается IOS то из VPN-ов там только pptp/l2tp/ipsec

з.ы. когда то на таких модулях s-terra делала шифрование по ГОСТу

Ну выглядит симпатично. Я бы даже сказал круто
А надо кому оно или нет - вот тут хз
Но ты все равно молодец. Сисадмин с ангуларом точно лучше чем просто сисадмин :)

какие-то рутинные операции наверное можно реализовать в гуе и сделать красиво и удобно
но основной функционал так в cli и останется
да и вообще конфигурить в cli удобней если умеешь
не нужно искать в каком разделе и области экрана какая кнопка находится.
и автокомплит сильно выручает который в гуе сделать никак
Зато в гуе удобно статистику смотреть и всякие разные графики

еще гуй хорош когда пишешь не просто стопиццотый интерфейс к одной железке,
а некий контроллер который расскатывает конфиг или политику на несколько устройств разом.
да еще чтоб транзакционная модель была (ACID) т.е. валидация и возможность откатить изменения.
Правда REST-ом такое будет сложно реализовать

а вобще даже если никому пользы не будет все равно подобными пет-проектами имеет смысл заниматься
все полезней чем бухать и/или в сериальчики пыриться

как то так например


с каждого роутера анонсировать default в ospf с одинаковой метрикой и будет балансировка по ECMP на выход (если аса в него умеет). на вход не будет. active/passive жеж

то что ты прописал айпишник к мак-таблице никак не относится
айпишник ищи в arp таблице

таблица маков строится своя для каждого влана. вланы обеспечивают нужную изоляцию.
поэтому нет смысла одному физическому интерфейсу в разных вланах назначать разные маки
хотя многие поизводители так делают

потому что судя по всему на туполинке включен нат
И скорей всего тебе маршрутизация вообще не нужна
А просто надо чтоб он как свич и/или вайфай точка работал

если так то не используй WAN порт. воткни все линки в LAN
и выключи на туполинке DHCP

какая интересная картинка
интересная тем, что судя по картинке и тому что написано в вопросе, L2 связность двух Core обеспечивается только этим твоим сбриджованным сервером. Уверен что через твой бридж мультикаст (hsrp) пройдет?
И зачем в этой топологии изначально L3 топологии вообще L2 использовать? Может OSPF сразу?

сходу три варианта:

1. плюс к пингам мониторьте остояние ospf соседства (1.3.6.1.2.1.14.10.1.6)
2. переходите на BGP и фильтруете адреса линков
3. инкапсулируете в GRE MPLS VXLAN whatever

может если до питона дорос то и нахрен уже всякие старомодные ftp?

result = ssh.send_command('show run')
with open(f"{device_name}.cfg") as f:
  f.write(result)

хотя можешь потом с помощью питонячего ftplib положить result на фтп, но это ж такое тухлое легаси уже
и это... если у тебя больше одной циске или там жунипера аристы хуевея, то забей на нетмико и посмотри на напалм

з.ы. конкретно эта твоя задача решается совсем просто: scp cisco:running-config .

да отфильтровать просто. типовая ж задача
выбирай как удобней
neighbor 2 distribute-list xxx out
neighbor 2 prefix-list yyy out
neighbor 2 route-map zzz out

ну или для джуника
policy statement bgp-export term 1 from route-filter 3 reject

обновите CUCM на любой из Known Fixed Releases:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCv...
или ходите заббиксом несекьюрно по http или по какому там протоколу айтемы дергаются в вашем шаблоне

уверен что не работает?
тут нужна поддержка VRF-Aware NAT т.е. несколько таблиц трансляций
циска знает что если пакет прилетел в интерфейс в VRF1 то и маршрутизировать и натить будет по соответствующим таблицам. Ничего в конфиг для этого отдельно прописывать не нужно.

И это старая фича. уже минимум лет 8 в IOS-ах такое реализовано

что за железяка?

на новом филиале должны быть точно такие же вланы что и в головном

поубивал бы.
Ладно когда временные костыли лепят на продакшн, но тащить убогие практики в новые проекты ...
что мешает по L3 с филиалом связность потсроить? Какие сервисы в 2019-м году не умеют в L3?

но если так уж хочется пачку вланов over любой тарнспорт прокиньте через MPLS или VXLAN-ами
оборудование придется поновее найти конечно
можно еще через openvpn накостылить ну и у микротика есть ipoe