防火墙与第三层交换机或没有它？

我正试图为一家小公司build立一个简单的networking架构。

其中一个站点由防火墙（创buildDMZ，在站点之间build立VPN）和三台交换机构build，如下面的链接。

有工作站连接到每个交换机。 这是一个基于VLAN的networking。 员工使用DHCP服务器获取他们的地址。 该公司还有另一个网站，连接了VPN / IPSec隧道。

• 在Linux中绑定接口时切换洪泛
• InterVLAN路由在HP V1910系列交换机上
• 在HP A5120交换机上configurationhttps访问
• 使用主动/主动故障转移设置Hyper-V Server 2012
• 是Nexus 7009所需的结构模块，还是机箱的一部分？

我的问题是，使用第三层交换机作为SW3是否合理？ 然后，我将在SW3上configurationDHCP服务器和站点内的路由，留下与DMZ和VPN相关的ASA。

或者你认为使用第二层交换机就足够像SW3，并且在ASA上做所有路由和DHCPconfiguration？

谢谢你的回答。 我只是担心这是不值得的第三层交换机和防火墙。 如果你知道一些有关创buildbuild筑的文献，我将不胜感激。