MPLS 组网运行在加密IP 之上

VPWS(Virtual-Private-Wire-Service)是指建在MPLS-网络基础设施上，在两个路由器的一对端口之间提供高速的二层透传，可以将本端PE设备的原始以太网消息透明地传输到远端PE设备，是一种二层协议。

GRE(Generic-Routing-Encapsulation)是通用路由封装协议，是第三层隧道协议，即在协议层之间采用一种叫做Tunnel(隧道)的技术，对某些网络层协议(如IP、IPX、MPLS等)的数据报进行封装。)，使这些封装的数据报能够在另一个网络层协议(如IP)中传输。GRE头中Protocol-Type定义为0x8847时，后面的封装报文为MPLS报文。

IPSec是指利用IPSec协议实现远程接入的技术。其目的是为IP提供高安全性。IPSec具体由两种协议组成:AH协议可以同时提供数据完整性确认、数据源确认、防重放等安全特性；AH常用摘要算法(单向Hash函数)MD5和SHA1实现这一特性。ESP协议可以同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1实现数据完整性。

在加密IP行在加密IP上的方法包括以下步骤:

第一步：IP设备从用户端口收到原来的以太网报文后，将其所属的MPLS标签添加到报文中；

第二步：MPLS标签对应的出口为GRE隧道端口，根据GRE信息在报文前增加一层GRE封装；

第三步：找出GRE接口对应的出口为IPSEC隧道端口，对IP报文进行IPSEC加密处理；

第四步：找出IPSEC隧道对应的真实物理口，将带标签和GRE封装的IPSEC报文发送到物理链路上；

第五步：远程设备从网络端口收到报文后，报文为IPSEC加密报文，首先进行IPSEC解密处理，恢复到原来的GRE报文；

第六步：解封GRE报文，根据GRE封装类型为MPLS标签报文，获取包含标签的原始私网报文；

第七步：剥离标签，获取原始报文，并根据标签查找转发，获取报文要发送的出口界面，将原始报文从该界面发送出去，实现私网报文跨IP公网的加密传递。

微云网络&网络综合解决方案提供商，助力企业信息化建设、数字化转型、以及全球化互联。SD-WAN方案可以加速全球访问、SaaS访问、海外视频和海外分支网络，有效提高国际沟通效率，帮助中国企业开拓国际市场…热线：400-028-9798，欢迎来电咨询。