Kiểu chồng lấp được triển khai qua trung kế riêng trên hạ tầng mạng chung của nhà cung cấp dịch vụ
VPN này có thể thực hiện tại lớp 1 sử dụng kênh thuê riêng hoặc đường quay số; tại lớp 2 sử dụng X. 25, Frame Relay hay kênh ảo ATM; tại lớp 3 sử dụng đường hầm IP.
Trong mô hình này chức năng của khách hàng và nhà cung cấp dịch vụ như sau:
Nhà cung cấp dịch vụ cung cấp cho khách hàng đường leased line. Các đường leased line này được gọi là các VCs, chúng có thể là kết nối liên tục PVC hoặc được thiết lập khi có yêu cầu. Hình sau mô tả mô hình mạng VPN kiểu chồng lấp và các VC được sử dụng trong đó
Hình 4. 17: Ví dụ đơn giản mạng VPN kiểu chồng lấp
Khách hàng thiết lập kết nối router tới router giữa các thiết bị CPE ( Customer Premises Equipment) qua các kênh ảo VC được cung cấp bởi nhà cung cấp dịch vụ. Giao thức định tuyến luôn luôn được trao đổi giữa các thiết bị của khách hàng và nhà cung cấp dịch vụ không quan tâm tới cấu trúc bên trong của mạng khách hàng.
Mặc dù mô kiểu VPN này có những hạn chế sau:
Mỗi một VPN có nhiều site, một site có một vài bộ định tuyến cho mục đích dự phòng, tuy nhiên mạng trở nên khó kiểm soát vì phải triển khai dưới dạng full-mesh của các kết nối point-to-point hay các kênh ảo trên mạng trục của nhà cung cấp dịch vụ để tối ưu đường truyền. Hơn nữa do khách hàng phải tự thiết kế và vận hành mạng trục ảo của riêng mình. Mà khách hàng đôi khi không có đủ trình độ và kinh nghiệm. Để giải quyết vấn đề này, nhà cung cấp dịch vụ sẽ phải đảm nhận nhiệm vụ thiết kế và vận hành mạng trục ảo ( Virtual Backbone Network) cho từng khách hàng, điều này sẽ rất phức tạp khi số lượng khách hàng lớn. Nếu mỗi khách hàng có mạng VPN với hàng trăm site thí số lượng kết nối là vô cùng lớn. Điều này ảnh hưởng đến khả năng mở rộng hệ thống mạng
Khi số lượng kết nối lớn thì việc thêm bớt các site trên mạng sẽ gây ra ảnh hưởng lớn do phải cấu hình lại các thiết bị định tuyến Rất khó đánh giá độ lớn của dung lượng các kết nối giữa các
điểm