为了提高网络的可靠性，通常企业网关都会有两条出口链路到ISP，它们互为备份或者负载分担的关系。当在两个出接口配置了IPSec并采用相同的保护方法时，那么就需要IPSec业务能够平滑切换。但非共享状态的两个出接口会分别协商生成IPSec SA，这样在主备链路切换时，需要消耗时间重新进行IKE协商生成IPSec SA，会导致数据流的暂时中断。

　　此时，通过配置安全策略组为多链路共享安全策略组，设备使用逻辑的Loop Back接口与对端设备建立IPSec隧道（一个Loop Back接口就代表了本地设备本身），可以实现主备链路切换时IPSec业务不中断，应用IPSec的两个物理接口共同使用一个多链路共享的IPSec SA。当这些物理接口对应的链路切换时，如果Loop Back接口的状态没有变化，那么不会删除IPSec SA，也不需要重新触发IKE协商，直接使用相同的IPSec SA继续保护流量。

　　如图1所示，分支机构网关Router A的报文通过两条出口链路到达总部网关Router B。如某条出口链路故障，Router A和Router B间的IPSec通信不受影响，从而提高了网络的可靠性。

　　图1  采用多链路共享的IPSec隧道示意

　　配置多链路共享功能的方法很简单，只需在系统视图下通过ipsec policy policy-name shared local-interface loopback interface-number命令设置安全策略组对应的IPSec隧道为多条链路共享即可。命令中的参数说明如下。

　　policy-name：指定安全策略组的名称，必须在系统视图下已经配置了名称为policy-name的安全策略组；

　　interface-number：指定Loop Back接口编号。Loop Back接口必须为已经创建的环回口，整数形式，取值范围是0～1 023。

　　缺省情况下，系统没有设置安全策略组对应的IPSec隧道为多条链路共享，可用undo ipsec policy policy-name shared命令取消指定的安全策略组对应的IPSec隧道为多链路共享。

　　该安全策略组需要在多个（并不限于两个）接口上应用才能生效。