Ở chương trước chúng ta đã tìm hiểu về mạng riêng ảo VPN, với hai kiểu VPN là VPN dạng chồng lấp và VPN ngang hàng và các công nghệ chính được sử dụng để triển khai trên cả hai loại VPN đó
Mô hình VPN dạng chồng lấp thường được sử dụng trong mạng của nhà cung cấp dịch vụ, việc thiết kế và cung cấp các mạch ảo qua mạng trục phải được thiết lập trước khi có bất kỳ luồng lưu lượng nào trên mạng. Trong trường hợp mạng IP, điều đó có nghĩa là ngay cả khi công nghệ là connectionless thì nó vẫn yêu cầu một connection- oriented để cung cấp cho dịch vụ này.
Từ góc độ của nhà cung cấp dịch vụ, với mô hình VPN chồng lấp rất khó kiểm soát một số lượng lớn các kênh ảo/đường hầm giữa các thiết bị của khách hàng. Và thiết kế IGP (Interior Gateway Protocol) là cực kỳ phức tạp và khó kiểm soát
Trong khi đó, mô hình VPN ngang hàng nó lại có hạn chế là thiếu sự cách ly giữa các khách hàng với nhau.
Với công nghệ chuyển mạch nhãn đa giao thức MPLS, đây là sự kết hợp các ưu điểm của chuyển mạch lớp 2 với định tuyến và chuyển mạch lớp 3, nó có thể cho phép chúng ta xây dựng nên một công nghệ mới kết hợp các lợi ích của mô hình VPN chồng lấp (ví dụ như tính bảo mật và sự tách biệt giữa các khách hàng) với ưu điểm của việc định tuyến đơn giản trong mô hình VPN ngang hàng. Công nghệ mới này được gọi MPLS/VPN tức là triển khai VPN trên công nghệ MPLS, nó đem lại sự định tuyến đơn giản cho khách hàng và nhà cung cấp dịch vụ cũng đơn giản hơn. Định tuyến IP (connnectionless) có thêm tính năng connection-oriented) của MPLS, bằng cách thiết lập các đường chuyển mạch nhãn (Label-Switched Paths – LSP).
Mô hình MPLS/VPN có hai mô hình chính là MPLS/VPN lớp 2 và MPLS/VPN lớp 3 (BGP/MPLS VPN)
MPLS/VPN lớp 2: Tạo ra sự mở rộng kết nối lớp 2 của khách hàng qua cơ sở hạ tầng là mạng MPLS. Mô hình này được gọi là VPN Martini. VNP lớp 2 mở rộng hỗ trợ dịch vụ LAN riêng ảo (Virtual Private LAN Service).
MPLS/VPN lớp 3 dùng để mở rộng giao thức định tuyến Internet BGP tới vị trí kết nối từ xa