RRI とは、リモート トンネル エンドポイントによって保護されているネットワークとホストのルーティング プロセスに、スタティック ルートを自動的に組み込む機能です。保護されているこれらのホストおよびネットワークは、リモート プロキシ アイデンティティと呼ばれます。

各ルートは、リモート プロキシ ネットワークとマスクを基にして作成され、リモート トンネル エンドポイントがこのネットワークへのネクスト ホップとなります。リモート VPN ルータをネクスト ホップとして使用することによって、トラフィックは強制的に暗号プロセスを通して暗号化されます。

VPN ルータでスタティック ルートが作成されたあと、この情報がアップストリーム デバイスに伝播されます。これにより、アップストリーム デバイスでは、IPsec 状態フローを維持するためのリターン トラフィックの送信先として適切な VPN ルータを特定できるようになります。適切な VPN ルータを判定することができれば、サイトで複数の VPN ルータを使用してロード バランシングやフェールオーバーを実行する場合や、デフォルト ルートでリモート VPN デバイスにアクセスできない場合に特に役立ちます。ルートは、グローバル ルーティング テーブルまたは適切な Virtual Routing and Forwarding（VRF）テーブルに作成されます。

スタティック クリプト マップ テンプレートであってもダイナミック クリプト マップ テンプレートであっても、RRI はクリプト マップごとに適用されます。この 2 つのタイプのマップのデフォルト動作は次のとおりです。

• ダイナミック クリプト マップでは、ルートは、リモート プロキシの IPsec セキュリティ アソシエーション（SA）が正常に確立されるとすぐに作成されます。リモート プロキシへのネクスト ホップは、リモート VPN ルータ経由となります。リモート VPN ルータのアドレスは、ダイナミック クリプト マップ テンプレートの作成中に学習および適用されます。ルートは、SA が削除されたあとに削除されます。スタティック クリプト マップの IPsec 送信元プロキシで作成されたルートは、スタティック マップのデフォルト動作であり、クリプト ACL（次の項目を参照）に基づいたルートの作成よりも優先されます。

• スタティック クリプト マップでは、クリプト アクセス リストに定義されている宛先情報を基にルートが作成されます。ネクスト ホップは、クリプト マップにアタッチされている最初の set peer 文から取得します。RRI、ピア、またはアクセス リストがクリプト マップから削除されると、必ずルートも削除されます。この動作は、以降の項で説明するように、RRI の拡張機能を追加することで変わります。