我不知道您的意思是“FW01 和 FW02 作为一个整体”。在大多数情况下，FW 集群由 2 个独立的防火墙组成，它们通过 1 o 2 条 HA 链路进行通信，其中一个保持活动状态，另一个处于备用状态。

所以，回答你的问题。这个设计正确吗？在我看来，它是无效的。正如@Ron 在评论中所说，您不能将一个设备移植到两个单独的设备。如果发生防火墙故障转移，冗余将不起作用。

是的，堆叠交换机拓扑不适用于数据中心，但它适用于 IDF。为什么？这不是 99.999，更像是 95-99% 的正常运行时间，因为 ISSU 不会真正起作用。端口通道只是一种链路/第 2 层绑定机制。将默认网关接口放在防火墙上。完毕。

下一代解决方案是 SDN-ish，即防火墙直接发生在端点连接的网络端口上。这样，您可以 (1) 嗅探所有流量，甚至是 VLAN 内的流量；(2) 当端点在物理基础设施（数据中心）中移动时，防火墙策略会跟随端点。

顺便说一句，如果您在谈论 Cisco Nexus，以下是您的操作方式（注意不要使用双主 FEX）