关于防火墙主备冗余组组网问题咨询

两台F5060做IRF。上行口有运营商两个出口，即分别为两对互联地址分别配置在IRF防火墙的1框和2框。（静态路由调整优先级浮动）现在防火墙的下行口是配置的1个Reth口，成员口分别在1框和2框；现在配置我再冗余组建了两个节点，即主框和备框；主框节点成员口为上行口；备框节点成员口为下行口；防火墙和下行设备运行ospf协议现象：安全策略为any到any动作为permit下行口本端和下行对端设备都可以学到对端ARP；但是互ping不通；通过debugg 收集 aspf 、security-policy 即 icmp ，可以看到ospf包被放行了，但是看不到icmp包的debug；另外看冗余组状态和为1框为主，下行reth口状态1框成员口为active,下行设备端查看mac地址也是从1框设备的口学来的。现在想咨询下：该种组网是否本身就有问题，即下行需要需要reth口切换，上行口确是主框备框都可以转发流量？后面附配置；以上，求专家们解惑。谢谢！

track 1 interface GigabitEthernet1/0/1 physical  上行口# track 2 interface GigabitEthernet2/0/1 physical 上行口 # track 3 interface GigabitEthernet1/0/2 physical 下行口# track 4 interface GigabitEthernet2/0/2 physical  下行口#interface Reth1  下行reth口ip address 15.15.15.1 255.255.255.0 member interface GigabitEthernet1/0/2 priority 255 member interface GigabitEthernet2/0/2 priority 50# redundancy group aaa  member interface Reth1  下行口 node 1 bind slot 1  priority 100  track 1 interface GigabitEthernet1/0/1 上行口 track 3 interface GigabitEthernet1/0/2  下行Reth口成员口 node-member interface GigabitEthernet1/0/1 上行口 node 2 bind slot 2 track 2 interface GigabitEthernet2/0/1 上行口 track 4 interface GigabitEthernet2/0/2 下行Reth口成员口 node-member interface GigabitEthernet2/0/1 上行口