Trong kiến trúc L3VPN, các bộ định tuyến khách hàng và của nhà cung cấpđược coi là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin định tuyến tới bộ định tuyến biên nhà cung cấp PE, PE lưu các thông tin địnhtuyến trong bảng định tuyến chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tương ứngvới một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Ngườisử dụng VPN chỉ được phép truy nhập tới các site hoặc máy chủ trong cùng một mạngriêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường nhằmchuyển tiếp lưu lượng của khách hàng qua mạng công cộng. Cấu hình mạng L3VPN dựa trên MPLS được chỉ ra trên hình:
CHƯƠNG III: CÔNG NGHỆ MPLS VPN VÀ ỨNG DỤNG
Các gói tin IP qua miền MPLS được gắn hai loại nhãn bao gồm nhãn IGP chỉ thịđường dẫn chuyển mạch LSP và nhãn VPN chỉ thị định tuyến chuyển tiếp đến các Sitekhách hàng, ngăn xếp nhãn được thiết lập để chứa các nhãn trên. Các bộ định tuyến Pcủa nhà cung cấp xử lý nhãn IGP để chuyển tiếp các gói tin qua miền MPLS. NhãnVPN chỉ được xử lý tại thiết bị định tuyến biên PE nối với bộ định tuyến khách hàng.
Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởinhà khai thác và do vậy nó cho phép đơn giản hóa việc triển khai kết nối với nhà cungcấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thôngtin định tuyến tới các bộ định tuyến VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượngIP hoặc lưu lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyếntại các thiết bị biên mạng cũng là một vấn đề phức tạp trong điều hành và ảnh hưởngtới khả năng mở rộng các hệ thống thiết bị.