将设备用于其设计用途是件好事。

路由器擅长路由协议，并且使用连接到 ISP（并且可能运行 BGP）的协议是正确的。

交换机非常适合为您的用户提供大量访问端口，而且具有成本效益。

中间一般需要有状态防火墙来防御攻击。ASA 可以路由或桥接流量，但它们的用途是防火墙、NAT 和（有时）站点到站点 VPN。他们路由或桥接的唯一原因是让数据包通过防火墙逻辑。

一个缺失的部分是：什么设备将充当所有这些内部交换机端口的 DHCP 转发器和默认网关？如果交换机是 L3 交换机，它可以做到。在小型网络中，ASA 可以做到。中型企业会添加一个层次结构：一个用于内部路由的 L3 交换机和一组用于廉价访问端口的 L2 交换机。

虽然 cisco 设备可以充当 DHCP 服务器，但建议让 Cisco 将 DHCP 转发到专用服务器。

您还需要提供 DNS。拥有自己的带有恶意软件域过滤的 DNS 解析器有利于安全。

对于冗余：将所有设备加倍。但要了解每个接入端口只连接到一个接入交换机。添加冗余的复杂性会导致人工配置中断，但它们通常更短，因为您有硬件可以在现场恢复。硬件导致的中断很少见，但您不想等待 TAC 给您发货一天。能够一次重新启动一个设备而不会导致中断也很好（注意交换机端口异常）。

关于将 ASA 用作路由器的另一点：状态防火墙拒绝“非对称”流量。因此，您必须在阻塞点使用它们，强制流量双向通过它们。这也是冗余 ASA 部署在“集群”中的原因，其中两个物理盒充当阻塞点中的一个逻辑盒。

编辑：考虑 OSI 模型的“财务层”也很重要：

（每 10-gig 端口的价格）

 Router capable of doing BGP with full internet routes: expensive
 Router capable of doing BGP with small number of routes: moderately expensive
 ASA: very expensive
 L3 switch: moderately expensive
 L2 switch: inexpensive

您不会购买价格适中的 L3 交换机就可以购买的昂贵 ASA。

基本上，防火墙是一种安全设备，其中传入和传出流量受到控制、限制、检查和监控。防火墙运行在 OSI 模型的 Layer3、layer4 和 layer7 上。它也具有路由功能..

这完全取决于业务需求，所有设备都需要在设置中使用。