為了提高網絡的可靠性，通常企業網關都會有兩條出口鏈路到ISP，它們互為備份或者負載分擔的關系。當在兩個出接口配置了IPSec并采用相同的保護方法時，那么就需要IPSec業務能夠平滑切換。但非共享狀態的兩個出接口會分別協商生成IPSec SA，這樣在主備鏈路切換時，需要消耗時間重新進行IKE協商生成IPSec SA，會導致數據流的暫時中斷。

　　此時，通過配置安全策略組為多鏈路共享安全策略組，設備使用邏輯的Loop Back接口與對端設備建立IPSec隧道（一個Loop Back接口就代表了本地設備本身），可以實現主備鏈路切換時IPSec業務不中斷，應用IPSec的兩個物理接口共同使用一個多鏈路共享的IPSec SA。當這些物理接口對應的鏈路切換時，如果Loop Back接口的狀態沒有變化，那么不會刪除IPSec SA，也不需要重新觸發IKE協商，直接使用相同的IPSec SA繼續保護流量。

　　如圖1所示，分支機構網關Router A的報文通過兩條出口鏈路到達總部網關Router B。如某條出口鏈路故障，Router A和Router B間的IPSec通信不受影響，從而提高了網絡的可靠性。

　　圖1  采用多鏈路共享的IPSec隧道示意

　　配置多鏈路共享功能的方法很簡單，只需在系統視圖下通過ipsec policy policy-name shared local-interface loopback interface-number命令設置安全策略組對應的IPSec隧道為多條鏈路共享即可。命令中的參數說明如下。

　　policy-name：指定安全策略組的名稱，必須在系統視圖下已經配置了名稱為policy-name的安全策略組；

　　interface-number：指定Loop Back接口編號。Loop Back接口必須為已經創建的環回口，整數形式，取值范圍是0～1 023。

　　缺省情況下，系統沒有設置安全策略組對應的IPSec隧道為多條鏈路共享，可用undo ipsec policy policy-name shared命令取消指定的安全策略組對應的IPSec隧道為多鏈路共享。

　　該安全策略組需要在多個（并不限于兩個）接口上應用才能生效。