Kiến trúc mạng riêng ảo L3VPN được chia thành hai lớp, tương ứng với các lớp 3 và lớp 2 trong mô hình OSI. L3VPN dựa trên RFC 2547 bits, mở rộng một số đặc tính cơ bản của giao thức cổng biên BGP (Border Gateway Protocol) và tập trung vào hướng đa giao thức của BGP nhằm phân bổ các thông tin định tuyến qua mạng lõi của nhà cung cấp dịch vụ cũng như là chuyển tiếp các lưu lượng VPN qua mạng lõi.
Trong kiến trúc L3VPN, các bộ định tuyến khách hàng của nhà cung cấp được coi là các phần tử ngang hàng. Bộ định tuyến biên khách hàng CE cung cấp thông tin định tuyến tới bộ định tuyến biên nhà cung cấp PE. PE lưu các thông tin định tuyến trong bảng định tuyến và chuyển tiếp ảo VRF. Mỗi khoản mục của VRF tương ứng với một mạng khách hàng và hoàn toàn biệt lập với các mạng khách hàng khác. Người sử dụng VPN chỉ được phép truy nhập tới các site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến PE còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển tiếp lưu lượng của khách hàng qua mạng công cộng. Một cấu hình mạng L3VPN dựa trên MPLS được chỉ ra trên hình 3.3.
Các gói tin IP qua miền MPLS được gắn hai loại nhãn, bao gồm nhãn MPLS chỉ thì đường dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến/chuyển tiếp ảo VRF. Ngăn xếp nhãn được thiếp lập để chứa các nhãn trên. Các bộ định tuyến P của nhà cung cấp xử lý nhãn LSP để chuyển tiếp các gói tin qua miền MPLS. Nhãn VRF chỉ được xử lý tại thiết bị định tuyến biên PE nối với bộ định tuyến khách hàng.
Mô hình L3VPN có ưu điểm là không gian địa chỉ khách hàng được quản lý bởi nhà khai thác, và như vậy nó cho phép đơn giản hóa việc triển khai kết nối với nhà cung cấp. Ngoài ra, L3VPN còn cung cấp khả năng định tuyến động để phân phối các thông tin định tuyến với các bộ VPN. Tuy nhiên, L3VPN chỉ hỗ trợ các lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Đồng thời, việc tồn tại hai bảng định tuyến tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong điều hành và ảnh hưởng tới khả năng mở rộng các hệ thống thiết bị.