ipsec 数据包转发

VPN传播成员资格和可到达信息

通过交换路由信息，LER可以学习直接连接的用户网站IP地址前缀。LER找对等LER，还需要找一个VPN中哪些LER 是同一个VPN服务的。LER将属于它VPN其他地区LER建立直接的LDP会话。换句话说，只有同样的支持VPN的LER只有这样可以成功建立LDP会话。

VPN内部的可到达性

数据流最早传输到嵌套隧道LER路由信息之间。当一个LER配置成一个IPVPN配置信息将包含在成员中VPN内部使用的路由协议。在此过程中，还可以配置必要的安全特性LER能成为别人LER相邻路由器VPN在内部路由方案中，每一个发现阶段结束后，每一个LER 通过它可以到达的发布，VPN用户地址前缀。

IP分组转发

LER路由信息交互完成后，每一个LER所有这些都将建立一个转发表，这将是转发表VPN前缀用户的特定地址(FEC转发等价类) 与下一跳联系起来。当收到的IP分组的下一跳是一个LER转发过程将首先用于此LER将标记(嵌套隧道标记)推入标记栈，然后到达LER的基本网络LSP将上下跳跃的基本标记推入标记分组，然后将两个标记的分组转发到基本网络LSP中的下一个LSR;

当分组达到目的时LER当最外层的标记可能发生多次变化时，嵌套内部的标记保持不变；当标记堆弹出时，继续使用嵌套标记将组发送到正确的位置LER。在LER上，每一个VPN必须使用嵌套标记空间LER其他支持的一切VPN嵌套标记空间不同。