Gansterito

Попросите у провайдеров по +1 дополнительному стыковочному IP. Приведите VLANы на отдельный порт DGS-3000-28SC, туда ставьте сервер с пинговалкой. Ну и в зависимости от результата, определяйте куда двигаться.
Лучше поставить на ваш BGP и на "пинговалку" smokeping, там пинговать ресурсы с разных IP:
- со стыковочных адресов каждого провайдера.
- со своего адреса.

Функционал бывает в SIP-шлюзах.
Например, в Addpack (дорогие железки) функционал называется Direct Call.

Вместо роутеров может быть прямая витая пара.

Управляемые коммутаторы + DHCP Snooping с Option 82 и лимитирование количества IP и MAC с одного порта.

Если на резервном не должно быть сколько-нибудь трафика (кроме служебного и "шума") - то нужно использовать бэкап-комьюнити. Они есть не у всех операторов, например, у ВымпелКом - это 3216:5870 (см. whois as3216):

remarks:        3216:58xx Set local preference to xx, where...
remarks:        ...xx=70 - the lowest value used in the network (BACKUP)

Если достаточно снизить долю трафика в резервном, то используйте препенды.

Номера принадлежат государству и выделяются операторам блоками. Оператор может передать даже один номер другому оператору, но это работа с бумажками, обращение в ФАС (или как теперь называется Федеральное Агентство Связи).
Чтобы этим оператор занялся, нужно его очень сильно замотивировать. Я бы оценивал вероятность такого как низкую. Хотя крупные операторы друг другу номера передают, это нормальная практика.

Смотрите вывод netstat -apn | grep ":22"
Вот пример легитимного исходящего соединения, инициированный командой ssh, pid 12690:

tcp        0      0 your_ip:46324   remote_ip:22       ESTABLISHED 12690/ssh

Вот такое соединение выглядит сомнительно, т.к. его инициировало какое-то левое приложение, таких записей может быть очень много:

tcp        0      0 your_ip:46324   remote_ip:22       ESTABLISHED 12690/php
tcp        0      0 your_ip:46224   remote_ip:22       ESTABLISHED 12692/php

Далее по PID смотрите что за приложение, от какого пользователя работает, как запускается (cat /proc/${PID}/cmdline), какие у него открытые файлы (lsof) и т.д.

Это мультикаст трафик ТВ Ростелеком.
Вполне возможно, что даже не кодированный.
Подключитесь ноутбуком с VLC и посмотрите.
Лучше в техподдержку Ростелеком сказать что-то вроде "получаю большое количество multicast-трафика, хотя не пользуюсь услугами ТВ, прошу проверить корректность работы IGMP на оборудовании доступа". Возможно, кто-то на 2-ом уровне поддержки обратит внимание на Ваш ТТ и исправит проблему.

Какие требования к сети?
Если сеть из одного бродкастового домена, то это одна ситуация, если со сложной иерархией - другая. Где будет запускаться питоновская программа, на софт-роутере или на отдельном выделенном устройстве?
Какие требования к окружению? Windows/Unix? Требуются ли права администратора?
Если автор хочет не просто написать дипломный проект, а развиваться в этом направлении, то нужно более систематично подходить к изучению вопроса.

Смотря какой диплом. Астериск - это целый мир.
Например, условному "архитектору ПО" может быть интересно внутреннее устройство системы, анализ узких мест архитектуры. Связисту-теоретику - оценка полноты реализации протоколов и т.д.

Делать полноценную переадресацию. Ее должен уметь вышестоящий оператор.
Примерно вот так должно быть:

same  =>             n,Set(REDIRECTING(from-num,i)=403020)
same  =>             n,Set(CALLERID(all)=<9008070605 >))

Т.е. ваш провайдер будет видеть звонок как с чужого номера, но пропустит его т.к. выставлен флаг переадресации, и номер переадресации ваш.

Разумеется, для работы этой схемы на входе звонка нужно сохранять оригинальный номер, и потом его подставлять в CALLERID.

У помойных операторов поддержки такого функционала нет (зачастую и понимание таких возможностей отсутствует). Поэтому нужно сначала протестировать функционал синтетическими тестами на сети разных мобильных операторов, убедиться в стабильном прохождении вызова, после чего раскатывать.

На картинке SFP модуль одномодовый (Single Mode). Это также видно по длинам волн. Имейте ввиду, на всякий случай.

Видимо, речь про переподписку или мультиплексирование трафика. Совокупная пропускная способность сервисов на пакетной сети может пропускать пропускную способность самой сети, т.к. трафик каждого отдельного абонента не занимает всю пропускную способность в течение всего времени.
Но это не всегда применимо на практике. Для ШПД операторов хорошая переподписка работает на уровне Доступа, и колец Доступа. Условно, 24 квартиры могут быть включены 100 Мбит/с - 1 Гбит/с на коммутаторе доступа, но среднее потребление в ЧНН - не более 20 Мбит/с. В кольце доступа (4-8 коммутаторов) потребление будет не более 80 - 160 Мбит/с. И т.д.
Для противопоставления - DWDM. Вне зависимости от наличия полезного трафика, DWDM полностью занимает ресурсы выделенного канала.

Нужно брать коммутатор "операторского уровня", т.е. те, что используют ШПД-операторы в качестве коммутаторов доступа. Причин здесь две:
- по всей РФ этих коммутаторов установлено сотни тысяч, по несколько штук на каждом жилом доме, а значит на рынке всегда есть предложение продажи.
- все программные и аппаратные проблемы в них давно найдены и устранены.
Из вендоров - это DLINK, DCN (SNR, QTECH), Edge-Core, например.

Замкнуть L3 маршрутизацию внутренней сети на L3-коммутатор - хорошая мысль. На коммутаторе сегментировать сеть по L2-сегментам, на каждый сегмент выделить по IP-сети. Можно сделать DHCP Relay на коммутаторе, а DHCP сервером будет Микротик.
Там же на коммутаторе можно настроить ACL по запрету трафика между сегментами, например, к сегменту с сетевыми принтерами доступ должен быть у всех, а к сегменту с камерами и Скуд - только у безопасников и сетевиков.
Вот только нужно правильно выбирать коммутатор. Cisco SF - это все-таки серия Small Business, не такая надежная как Catalyst-ы.

Это не норма, но и не проблема.
Вы включены в ШПД сегмент Ростелеком, и там наличие серых адресов - норма. Поэтому на доступе трафик на серые IP не ограничивается, улетает куда-то в ядро, и где-то может даже найти своего получателя.

Не нужно подделывать номер.
Арендуете самую дешевую ВАТС и номер в коде DEF.
С этого номера в коде DEF в ВАТС ставите переадресацию на номер шлагбаума.
Номер DEF передаете обслуживающей шлагбаум компании как новый номер Мужика.
И Вы, и мужик для открытия шлагбаума звоните на DEF, вызов переадресуется на шлагбаум, он открывается.
Есть минус - любой прозвон на DEF откроет шлагбаум.