> Что касается 2 Data-Link Layer, то в случае L2 VPN он само-собой
> легко различим, как пример QinQ конфигурация. Но, что если у нас
> OpenVPN TUN или GRE over IPsec? Канальный уровень у нас закончится
> на точке демаркации, дальше мы уже не можем не влиять на
> его работу, не тем более отвечать за него.

OpenVPN TUN этот который p2p , путаю их все время с TAP, если да, то почему не сделать TAP?
Собственно VPN, ИМХО, это и есть способ уйти от точек демаркации, но GRE, ИМХО, не лучшее решение.

> Я понял, почему мы долго с вами так уже ведём беседу и
> ещё не пришли к одному знаменателю, я смотрю с позиции инженера
> транспортной службы по вашей классификации, а вы инженера внутренней службы отвечающей
> за сеть внутри.

Внутри чего? А вообще, наверное, следовало бы определить смысл букв - VPN. У вас вся сеть как будто это цепочка шифрованных каналов через вражеские физические сети, я же полагаю, что у любой нормальной организации есть центральный офис или несколько, где подключение происходит проводами, которые связаны друг с другом либо своими волсами, либо л2 купленным у провайдера. И уже к той сети подключаются филиалы, по волсам, или через провайдеров, но это уже другой уровень сети, зачем там (в филиале) оспф и бгп, там должен быть мальчик эникейщик , чтобы мышку поменять, и какая-нибудь циска или микротик, чтобы раздавать интернетик и корп сеть, причем у мальчика эникейщика от циски той не должно быть ни пароля ни пачкорда с управлением, а выдаваться она дожна настроенная директору филиала под роспись.

> С точки зрения оператора, конфигурация MPLS PE узла выглядит одинаково на мой
> взгляд, что же касается в принципе MPLS VPN, то L2 сложнее,
> чем L3 VPN с точки зрения теории.

Вот не правда, с л3 в свое время голову сломали куда эти ip вешать, умники рекомендовали на ядро сети, но это во-первых, уникальные вланы на каждую точку, через все опорное кольцо волс, во-вторых, клиентские ip на ядре сети - полнейший бред. А с л2 проблем никаких, 5 строк на порт с указанием точки выхода - любой город.