こんにちは。

Cisco ASA 5545X + OS:9.6系 + AnyConnect 4.5系で、エンドユーザーにSSL-VPNサービスを提供しています。
クライアントPC（Windows 7/8/8.1/10です）からの、のブロードキャスト通信の扱いについて質問があります。
どなたか、ご回答いただけますでしょうか。

■状況
クライアントPCから大量に送信されるブロードキャストが、上位のL3スイッチにルーティングされます。
・Cisco ASA 5545Xにてcaptureコマンドで確認しました。
・多くは、udp:137（NetBIOS名前解決サービス）です。

-------------------
captureコマンドによる確認例
ASA# show capture cap01

2883 packets captured

  : 14:50:57.868897       10.201.xxx.222.137 > 10.201.xxx.255.137:  udp 50
  : 14:50:57.868973       10.201.xxx.222.137 > 10.201.xxx.255.137:  udp 50
  : 14:50:57.964259       10.201.yyy.8.137 > 10.201.yyy.255.137:  udp 50
  : 14:50:57.975154       10.201.zzz.114.137 > 10.201.zzz.255.137:  udp 50
　（以下省略）
--------------------

これが多少なりとも、上位のL3スイッチに負荷をかけているのではないかと懸念しております。
理由は、
Cisco ASA内で定義したアドレスPoolでのブロードキャストアドレス（/24であれば第４オクテット＝255）が上位のL3スイッチに届く
→L3スイッチではRouting tableを参照してCisco ASA5545Xに戻す
という無駄な通信が最低１往復は発生していると推測されるからです。

L3スイッチにはCisco 3750Xを使用しているのですが、上記のようなルーティングループに似た現象が発生すると、CPU受信キューのicmpのカテゴリ（icmpリダイレクト）のカウンタ値が上昇します。クライアントPCの台数が多いため（約700～800）、結構なスピードで毎日カウントアップします。
・CPU受信キューの各カウンタ値はshow controller cpu-interface で確認可能です。
・参照先：https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-access/cat3750swt/tg/001/cpu-util.html


■質問事項
ASAで定義したPoolのブロードキャストアドレスが、上位のL3スイッチに届いても意味がないと思います。（少し自信がないですが）
L3スイッチでブロードキャストを止める場合、ACLによる方法が考えられます。テストすると期待した動作によるようでした。
ただ、これをやって、副作用はないでしょうか。
どなたか、ご教示しただければと思います。
------------------------
前提
・クライアントPCにアサインするIPアドレスは10.201.0.0/16の範囲
・１つのアドレスプールのサイズは、/24（ブロードキャストのアドレスは第４オクテットが255となる）
ACLの書き方
・10.201.[任意].255への通信はドロップという要件を満たすために、ワイルドカードによる指定方法を使います。

ip access-list ACL_TEST_IN
  deny ip  10.201.0.0  0.0.255.255  10.201.0.255   0.0.255.0  
  permit ip any any
 
interface Vlan123  <- Cisco ASAとの接続インターフェース
  ip access-group ACL_TEST_IN in
  ------------------------
 
よろしくお願いします。

■補足
・クライアントPCでは、WINSサーバは使用しません。DNSサーバは使用します。
・コンピュータ名とIPアドレスの対応をDNSサーバに登録する機能は有効化します。


■添付ファイル
・簡単な構成図を添付します。
・ネットワークアダプタ（AnyConnect）のプロパティシートの画面キャプチャを添付します。