Cấu tạo của mô hình mạng riêng ảo lớp ba (L3VPN) được chia thành hai lớp, tương ứng với các lớp 3 và lớp 2 của mô hình OSI. L3VPN dựa trên RFC 2547bit, mở rộng một số đặc tính cần thiết của giao thức cổng biên BGP và tập trung vào hướng đa giao thức của BGP nhằm chia sẽ thông tin định tuyến qua mạng lõi của nhà cung cấp dịch vụ cũng như là chuyển tiếp các lưu lượng VPN qua lõi.
Trong mô hình L3VPN, các bộ định tuyến người dùng và của nhà cung cấp dịch vụ được coi là ngang hàng. Bộ định tuyến biên người dùng gửi thông tin định tuyến tới bộ định tuyến và chuyển tiếp ảo VRF. Người dùng VPN chỉ được phép truy nhập tới các site hoặc máy chủ trong cùng một mạng riêng này. Bộ định tuyến biên nhà cung cấp dịch vụ còn hỗ trợ các bảng định tuyến thông thường nhằm chuyển lưu lượng thông tin của người dùng qua mạng công cộng. Dưới đây là kiến trúc của mô hình mạng riêng ảo lớp 3 trên nền tảng MPLS.
Hình 2.8: Mô hình mạng riêng ảo tầng 3 (L3VPN)
Các gói tin IP qua miền MPLS được gắn hai loại nhãn đó là nhãn MPLS chỉ đường dẫn chuyển mạch nhãn LSP và nhãn chỉ thị định tuyến chuyển mạch ảo VRF. Ngăn xếp nhãn được tạo lập để xử lý LSP để chuyển các gói tin qua MPLS. Nhãn VRF chỉ được xử lý tại thiết bị định tuyến biên nhà cung cấp dịch vụ PE nối với bộ định tuyến người dùng.
Kiến trúc mạng riêng ảo lớp 3 có những ưu điểm là vùng địa chỉ người dùng được quản lý bởi các nhà khai thác, do đó nó cho phép đơn giản hoá việc triển khai kết nối với nhà cung cấp dịch vụ. L3VPN còn cung cấp khả năng định tuyến động phân phối các thông tin định tuyến tới các bộ định tuyến VPN. Tuy nhiên L3VPN chỉ hỗ trợ các
Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8
lưu lượng IP hoặc lưu lượng đóng gói vào gói tin IP. Việc tồn tại hai bảng định tuyến tại các thiết bị biên mạng cũng là một vấn đề phức tạp trong việc khả năng mở rộng hệ thống thiết bị.