MPLS VPN 网络可根据网络层次结构的不同而被分为二层和三层。这种区分是基于在网络中数据包的处理方式和路由决定方式不同的。

**二层 MPLS VPN**：
二层 MPLS VPN 将客户机设备连接到提供商边缘路由器，创建一个虚拟交换机来处理数据包。它使用 MPLS 将客户机网络连接到提供商的网络中。在这种类型的 VPN 中，客户机发送以太网数据帧，提供商网络则负责在虚拟网络中路由这些数据帧。它就像一个大型的以太网交换机，为每个客户机提供一个虚拟交换机实例。

这种 VPN 通常被大企业使用，它们需要一个可扩展且灵活的网络基础设施来连接全国甚至全球的分支机构。使用二层 VPN，每个分支机构都像连接到一个巨大的以太网 Switch 一样。它简化了网络架构，因为它允许使用一个 IP 地址范围为所有分支机构提供服务，而无须为每个分支机构配置复杂的路由设置。

它也易于管理和扩展。如果有新分支机构连接到 VPN，就只需要在提供商边缘添加新的虚拟交换机实例，并在客户机场所安装新的路由器或Switch，以连接到提供商边缘。

**三层 MPLS VPN**：
三层 MPLS VPN 在架构上与二层 VPN 有很大不同。 unlike its layer 2 counterpart，三层 VPN 在客户机场所和提供商边缘路由器之间提供完整的路由功能。客户机将已路由的数据包发送到提供商边缘路由器，后者使用自己的路由表来决定数据包在虚拟网络中的路由。

这种 VPN 通常被互联网服务提供商（ISP）和大型企业使用，以建立更安全和可管理的网络。与二层 VPN 不同，三层 VPN 需要客户机自己处理路由，并将已路由的数据包发送到提供商边缘。这为客户机提供了更多的控制权和灵活性，因为它们可以根据自己的需求自定义路由表。

三层 MPLS VPN 的另一个优势是，它允许不同客户机 VPN 之间的通信，而无需在客户机路由器之间建立直接连接。这对需要与多个客户相互通信的组织非常有用。它也允许使用不同网络协议，如 IPv4 和 IPv6。

在安全性方面，三层 MPLS VPN 比二层 VPN 有更好的表现，因为数据在提供商网络中始终以封装形式传输，这意味着只有在提供商边缘路由器上才能访问数据。相比之下，二层 VPN 可能暴露一些有用数据给其他客户机，因为它们在虚拟交换机中是可见的。

两层和三层 MPLS VPN 在为组织提供安全、可扩展的网络解决方案方面各有所长。在选择哪种方案更适合自己的需求时，应考虑网络复杂性、安全性、可管理性以及组织对控制和灵活性的需求。

MPLS VPN 的另一个分类方法是将它们分为“基本”和“增强”，其中“基本”MPLS VPN 类似我们目前讨论的两层 VPN，“增强”MPLS VPN 类似三层 VPN。