Sugestão que eu utilizo aqui:
Vlans + Eoip+ queue,
Como antendo clientes PJ e são todos com links full faço da seguinte forma
Core (ccr) -> portas 10 e 8 para Vlans pares e impares, e por eoip entrego o link pro cliente por DHCP /30 (1 ip) assim o cliente não me dá broadcast, navega sem problemas e não tenho aporrinhações configurando a RB cliente, que de quebra roda SNMP para eu monitorar via Dude/Zabbix.

é um luxo.