网络配置/装备问题

我的任务是在数据中心安装一个相当简单的机架（我们甚至不需要整个机架，但这是最小的可用配额）。简而言之，4 到 6 台服务器需要能够连接 2 个（也许 3 个）供应商。服务器需要通过互联网连接。

更详细一点 - 服务器需要访问的网络位于数据中心内部，并且是“受信任的”。这些网络的连接将通过数据中心内部交叉连接实现。这有点像一条生产线，我们从一个供应商接收数据（可突发高达 200 Mbits），在服务器上处理数据，然后将数据发送给另一个供应商（可突发高达 20 Mbits）。这一系列事件对延迟非常敏感，因此通常不在这些段上使用 NAT 或防火墙（至少我听说是这样）。

为了通过互联网访问服务器，我计划使用站点到站点 VPN。（这部分仅与硬件选择有关）。

我考虑了两种配置：

1. Cisco 2911（2921）（带有附加 WAN 端口模块）和第 2 层交换机 - 在这种情况下，我也会将路由器用于 VPN。
2. Cisco 3560 第 3 层交换机用于连接数据中心内部的网络，ASA 5510（完全是大材小用，但 5505 不是机架式的）用作广域网端（互联网）和 VPN 的防火墙。我设想的设置如下：

互联网 -> ASA -> 3560

供应商 -> 3560 -> 服务器

一般来说，ASA 充当防火墙和 VPN 设备，而 3560 承担所有繁重的工作。

第一种是相当传统的设置，但我担心的是性能。第二种有点不合常规，因为供应商直接连接到第 3 层交换机，而不通过防火墙。但根据我的理解，第 3 层交换机的性能会好得多，因为它将进行硬件（ASIC）而不是软件交换。（请注意，第二种方法有点超出预算，但并非不可行（双重否定，呃））

由于这是我第一次处理数据中心，我不确定 IP 空间会是什么样子。我怀疑我会保留一个（多个）公共 IP 块，将它们划分为单独的接口，用于供应商连接和服务器（当然，从 WAN 端无法访问），并在交换机上设置路由。

我的问题是：

1. 1 和 2 之间是否存在显著的性能差异，即第 3 层基于硬件的交换与 2911 上基于软件的交换？我搜索了互联网并找到了很多有关 Cisco 的文献，但没有找到任何可以真正用来获得良好处理方法的资料。
2. 我们连接的供应商是安全且值得信赖的（这句名言），据我所知，通常的做法是不对这些连接进行 NAT 或防火墙处理（因为前面提到的延迟敏感性）。但如果我将数据推送到路由器（或甚至 ASA）中，我们真正谈论的延迟到底是什么样的？就我们的目的而言，5 毫秒不会杀死我们，20 或 30 毫秒可能会非常昂贵。其他供应商以微秒为单位，但它们超出了我们的范围。
3. 在第 3 层交换机上使用公共 IP 是否存在问题？

我当然不会拘泥于这两种配置，我完全愿意接受任何想法。我的知识（我使用这个词比较宽泛）主要来自书籍，因此我欢迎任何建议/见解。

提前致谢。