MPLS 运行在加密的IP 之上的具体步骤如下：

步骤1：控制平面创建GRE接口、配置IPSEC加密信息。通过GRE接口之上运行LDP协议，远端PE给本地PE分发标签，在远端PE设备形成以该标签值为键值的标签转发表，表项的出接口为用户侧接口; 在本地PE设备形成以用户入接口为键值的表项，表项内容含此标签值，表项的出接口为GRE隧道接口;

步骤2：本地PE设备从用户侧接口接收二层数据报文;本地PE设备以报文的入端口为键值查找步骤1生成的表项，获取MPLS封装标签以及GRE隧道接口号，对用户二层报文进行MPLS封装，即在二层头前面增加一层MPLS标签;本地PE设备根据之前获得的的GRE隧道接口号，以其作为键值，查找GRE隧道表，得到GRE封装信息，并获取出接口信息，对之前封装后的MPLS报文添加GRE头以及新的IP头，完成GRE封装处理。

步骤3：本地PE设备检查步骤2中得到的出接口信息，可得知其为IPSEC隧道出口，查找IPSEC隧道信息，做IPSEC的加密以及封装处理。

步骤4：本地PE设备根据IPSEC隧道信息查找得到的出端口信息，将步骤3做完IPSEC加密封装后的报文投递到网络侧物理出端口上。

步骤5：报文在IP网络中传送，根据外层IP查找IP网络路由器设备中的路由表进行转发。远端PE设备收到从IP公网中收到的报文，根据IPSEC信息解密并剥离IPSEC封装，得到GRE封装的报文。

步骤6：远端PE设备剥离GRE封装报文得到MPLS标签报文;

步骤7：远端PE设备剥离MPLS标签，得到用户的原始二层报文，并根据MPLS标签查找步骤1中生成的标签表，得到用户真正的物理出口，将原始二层报文投递到用户侧网络出口上。

以上步骤完成用户原始二层报文从本地PE到远端PE的跨越公共IP网络的加密传输。