Брандмауэр с переключателем уровня 3 или без него?

Я пытаюсь сделать просто сетевая архитектура для небольшой компании.

Один из сайтов состоит из брандмауэра (для создания DMZ, для создания VPN между сайтами) и трех коммутаторов, как показано по ссылке ниже.

К каждому переключателю подключены рабочие станции. Это сеть на основе VLAN. Сотрудники получают свои адреса с помощью DHCP-сервера. У компании есть еще один сайт, связанный с туннелем VPN / IPSec.

У меня вопрос: будет ли разумно использовать коммутатор уровня 3 в качестве SW3? Затем я бы настроил DHCP-сервер и маршрутизацию внутри сайта на SW3, оставив ASA для вещей, связанных с DMZ и VPN.

Или вы думаете, что использование коммутатора уровня 2 будет достаточно в качестве SW3, и все настройки маршрутизации и DHCP будут выполняться на ASA?

Спасибо за каждый ответ. Я просто боюсь, что не стоит делать это с переключателем уровня 3 и брандмауэром. Если вы знаете литературу о создании архитектуры, я был бы признателен.