Своя AS это еще и дополнительная радость от общения с Роскомнадзором, что то мне подсказывает, что человек к этому совсем не готов.

Идею с горизонтально масштабируемым межсетевым экраном зафиксировал, спасибо. В моём случае большинство хостов находится под нашим управлением, так что endpoint security policy enforcement можно провернуть. Но из-за того, что конечные хосты из себя представляют сборную солянку виртуалок и железок разных вендоров, то не на каждой платформе можно развернуть локальный межсетевой экран.
Скорее всего придётся выбрать своего рода гибридный вариант, где одна часть хостов будет за центральным межсетевым экраном, а другая - фильтровать трафик локально

Можно, но за деньги

Ну всё можно сделать удалённо - вопрос денег

Я правильно помню, что acl на нексусах обрабатывается в tcam и их использование немного увеличивает задержку, но не нагружает cpu?
С лимитами tcam по количеству ingress/egress правил в acl всё ясно

на нексусах CAM и TCAM разнесены?

Я понимаю что всё всегда упирается в деньги. Но для того чтоб упереться в них нужно знать эту цифру.

для цифры нужно ТЗ, но от 5000р/час на невнятном ТЗ

7500 по безналу

Если требуется выезд или Remote Hands не силами заказчика - оплата транзита и рук

они на чипе

я имею в виду - TCAM не используется под FDB?

у меня есть зерно :) приезжай :)

а что такое fdb ?

forwarding database

а стаканы?

стаканы... хитёр... в стаканах пшеничная

а можно цельный док, очень интересно