為了提高網(wǎng)絡(luò)的可靠性，通常企業(yè)網(wǎng)關(guān)都會(huì)有兩條出口鏈路到ISP，它們互為備份或者負(fù)載分擔(dān)的關(guān)系。當(dāng)在兩個(gè)出接口配置了IPSec并采用相同的保護(hù)方法時(shí)，那么就需要IPSec業(yè)務(wù)能夠平滑切換。但非共享狀態(tài)的兩個(gè)出接口會(huì)分別協(xié)商生成IPSec SA，這樣在主備鏈路切換時(shí)，需要消耗時(shí)間重新進(jìn)行IKE協(xié)商生成IPSec SA，會(huì)導(dǎo)致數(shù)據(jù)流的暫時(shí)中斷。

　　此時(shí)，通過(guò)配置安全策略組為多鏈路共享安全策略組，設(shè)備使用邏輯的Loop Back接口與對(duì)端設(shè)備建立IPSec隧道（一個(gè)Loop Back接口就代表了本地設(shè)備本身），可以實(shí)現(xiàn)主備鏈路切換時(shí)IPSec業(yè)務(wù)不中斷，應(yīng)用IPSec的兩個(gè)物理接口共同使用一個(gè)多鏈路共享的IPSec SA。當(dāng)這些物理接口對(duì)應(yīng)的鏈路切換時(shí)，如果Loop Back接口的狀態(tài)沒(méi)有變化，那么不會(huì)刪除IPSec SA，也不需要重新觸發(fā)IKE協(xié)商，直接使用相同的IPSec SA繼續(xù)保護(hù)流量。

　　如圖1所示，分支機(jī)構(gòu)網(wǎng)關(guān)Router A的報(bào)文通過(guò)兩條出口鏈路到達(dá)總部網(wǎng)關(guān)Router B。如某條出口鏈路故障，Router A和Router B間的IPSec通信不受影響，從而提高了網(wǎng)絡(luò)的可靠性。

　　圖1  采用多鏈路共享的IPSec隧道示意

　　配置多鏈路共享功能的方法很簡(jiǎn)單，只需在系統(tǒng)視圖下通過(guò)ipsec policy policy-name shared local-interface loopback interface-number命令設(shè)置安全策略組對(duì)應(yīng)的IPSec隧道為多條鏈路共享即可。命令中的參數(shù)說(shuō)明如下。

　　policy-name：指定安全策略組的名稱(chēng)，必須在系統(tǒng)視圖下已經(jīng)配置了名稱(chēng)為policy-name的安全策略組；

　　interface-number：指定Loop Back接口編號(hào)。Loop Back接口必須為已經(jīng)創(chuàng)建的環(huán)回口，整數(shù)形式，取值范圍是0～1 023。

　　缺省情況下，系統(tǒng)沒(méi)有設(shè)置安全策略組對(duì)應(yīng)的IPSec隧道為多條鏈路共享，可用undo ipsec policy policy-name shared命令取消指定的安全策略組對(duì)應(yīng)的IPSec隧道為多鏈路共享。

　　該安全策略組需要在多個(gè)（并不限于兩個(gè)）接口上應(yīng)用才能生效。