防火墙与交换机对接问题

各位好，  

1、SW1、SW2配置了IRF，逻辑成一台设备。

2、FW1、FW2需要配置成IRF主备，网关都部署在FW设备。

4、SW下边有接入交换机的，划分了不同的VLAN，所以SW的接口都是Trunk接口，FW使用的是子接口封装vlan-id来做为SW交换机下不同VLAN用户的网关。

5、两台SW交换机做了IRF，所以将SW将4个物理接口捆绑在Bridge-Aggregation，工作在Trunk模式。

6、两台FW防火墙做了IRF，所以将SW将4个物理接口捆绑在Bridge-Aggregation，工作在Trunk模式。

7、FW上配置不同的vlanif接口，将网关IP配置在wlanif接口下，这种方案是否可行？

8、我的理解是：如果按照这种模式配置，那两台防火墙就没有主备之分了，两台FW配置了IRF技术后共用的是一套配置。比如SW1下的某个VLAN用户要访问其它网段，SW1交换机肯定会发arp广播，SW1很有可能会从G0/1学习到了网关的mac地址（虽然绑定了Bridge-Aggregation聚合组），流量就是从SW1的G0/1接口到防火墙。

防火墙在转发出去。

9、这样做会不会存在其它问题？比如流量来回路径不一致，在防火墙存在异步的回包之类的问题？因为这样做我感觉防火墙没有主备之分了，都能转发流量相应arp。

10、我前边第一个帖子，有朋友回复说是可以配置只允许一个聚合组中最多有两个活跃物理接口。比如我控制SW1的G0/1和SW2的G0/2为高优先级。控制FW1的G0/1、G0/2两个接口优先级调高，这样默认就只有FW1的在转发流量。