Respostas:
As interfaces de túnel têm muitos usos, incluindo a participação em uma configuração VPN maior. Uma configuração de VPN geralmente possui muitas partes, incluindo criptografia, autenticação, roteamento e, finalmente, o encapsulamento. O encapsulamento também é usado para configurações de coexistência IPv4 / IPv6, como encapsular pacotes IPv6 em cargas úteis de pacotes IPv4, criar túneis GRE e tunelamento multicast. O ponto é que, embora os túneis possam fazer parte de uma configuração de VPN, eles não representam necessariamente toda a configuração da VPN, mas apenas o encapsulamento de tráfego entre os pontos de extremidade.
Um túnel VPN usa IPSEC que criptografa os pacotes, geralmente entre duas LANs conectadas pela Internet. Os túneis IPSEC não têm suporte a multicast, o que significa que você não pode executar protocolos de roteamento dinâmico como EIGRP, OSPF e ISIS no túnel.
Existem também várias formas de VPNs como DMVPN, SSL VPN e GET VPN.
Um túnel GRE pode ser usado para muitas coisas, para suportar multicast, IPv6 ou mesmo CLNS, que é usado para ISIS. Um túnel GRE não tem criptografia que o túnel VPN possui.
Para obter suporte para roteamento e criptografia de pacotes, é comum implantar o IPSEC e o GRE juntos, para que ele seja suportado para executar protocolos de roteamento dinâmico sobre ele.
Existem também outros modos de encapsulamento, como IP em IP, 6to4, ISATAP e assim por diante.
Um túnel oferece uma opção de VPN baseada em rota. Isso permite executar protocolos de roteamento nos seus túneis, o que permite melhores recursos de failover. Você também pode configurar um único túnel e, em seguida, rotear muitos prefixos diferentes pelo mesmo túnel único. Se o outro lado adicionar um novo prefixo, basta adicionar outra rota estática ao túnel existente. Também acho mais fácil executar NAT em toda a rede para sobrepor sub-redes VPN, pois a interface de encapsulamento é apenas mais uma camada3 de interface ponto a ponto
Os túneis também são úteis para momentos em que você precisa executar dois VRFs diferentes em uma interface que não suporta muitas subinterfaces. Um link DSL é um exemplo. Nesse caso, você pode executar um túnel sobre o link normal e colocá-lo em um VRF diferente