精密パケット検査またはステートフルなファイアウォール アクティビティを実行するすべてのネットワーク装置は、パケット フローに関連付けられているすべてのパケットを "確認" する必要があります。これは、フロー内の各パケットが、目的の送信先に到達する限り、理論的には異なるパスに沿って転送されてもよい (つまり、介在するルータがパケットをいちいち確認しなくてよい) 従来の IP ルーティングとは対照的です。現在のルータは各パケット フローで一貫したネクストホップによるパケット転送を試みますが、これは一方向へのパケット転送にしか当てはまりません。ルータは、送信側ルータへの戻りのトラフィックの誘導を一切試みません。こうした IP ルーティング動作は、非対称ルーティングをサポートしないファイアウォール クラスタにとって問題となります。一連のクラスタ ノードが、すべて同じネットワークへのパスを提供するからです。クラスタを介してネットワークにパケットを転送するルータは、任意のクラスタ ノードをネクストホップとして選択する可能性があります。その結果、ある方向へのパケットのフローに使用されたノードがその戻りのパスで使用されるノードとは異なる非対称なルーティングとなります。フローのこの変化が、一方または両方のクラスタ ノードでトラフィックが破棄される原因となります。どちらのノードもフローのすべてのトラフィックを "確認" していないからです。Figure 55 を参照してください。
図 55. 非対称ルーティング
Figure 55 で、PC1 が Server1 と通信するとき、双方向のトラフィックは異なるルータを通ります。つまり、同じ接続のパケットの中に青色のパスを通るものと、緑色のパスを通るものがあります。このような配備では、ルータが冗長ルート プロトコルや負荷分散プロトコル (例えば、Cisco HSRP プロトコル) を実行することがあります。