No lado comercial, há o Cisco Security Manager que pode lidar com ACLs em caixas IOS, ASA, etc. Há um período de avaliação gratuito de 90 dias e é executado em uma VM. Isso pode valer a pena olhar. Há também o fwbuilder que oferece gerenciamento ACL multiplataforma (incluindo IOS), mas eu não passei muito tempo com ele.