MPLS 组网和ipsec

MPLS运行在加密IP上的具体步骤如下:

第一步：控制平面创建GRE接口，配置IPSEC加密信息。在GRE接口上运行LDP协议，远端PE将标签分发给本地PE，在远端PE设备上形成以标签值为键值的标签转发表，表项的出接口为用户侧接口；在本地PE设备上形成以用户入接口为键值的表项，表项内容包含该标签值，表项的出接口为GRE隧道接口；

第二步：本地PE设备从用户侧接口接收二层数据报文；本地PE设备以报文入口为键值查找步骤1生成的表项，获取MPLS封装标签和GRE隧道接口号，对用户的二层报文进行MPLS封装，即在二层头前增加一层MPLS标签；本地PE设备根据之前获得的GRE隧道接口号，以此为键值，查找GRE隧道表，获取GRE封装信息，获取接口信息，将GRE头和新IP头添加到之前封装的MPLS报文中，完成GRE封装处理。

第三步：本地PE设备检查第二步中获得的出口信息，可以知道是IPSEC隧道出口，查找IPSEC隧道信息，对IPSEC进行加密和封装处理。

第四步：本地PE设备根据IPSEC隧道信息查找出端口信息，将第三步完成IPSEC加密封装后的报文投递到网络侧物理出端口。

第五步：报文在IP网络中传输，根据外层IP查找IP网络路由器设备中的路由表进行转发。远程PE设备收到IP公网上的报文，根据IPSEC信息解密，剥离IPSEC封装，得到GRE封装的报文。

第六步：远程PE设备剥离GRE封装报文，获得MPLS标签报文；

第七步：远程PE设备剥离MPLS标签，获取用户的原始二层报文，并根据MPLS标签查找第一步生成的标签表，获取用户的真实物理出口，将原始二层报文投递到用户侧网络出口。

上述步骤完成用户原始二层报文从本地PE到远端PE的加密传输。

微云网络&网络综合解决方案提供商帮助企业信息化建设、数字化转型和全球互联网。SD-WAN方案可以加速全球访问、SaaS访问、海外视频和海外分支网络，有效提高国际沟通效率，帮助中国企业开拓国际市场…热线：400-028-9798，欢迎来电咨询。