Respuestas:
Las interfaces de túnel tienen muchos usos, incluida la participación en una configuración VPN más grande. Una configuración de VPN generalmente tiene muchas partes, que incluyen cifrado, autenticación, enrutamiento y, finalmente, el túnel. La tunelización también se usa para configuraciones de coexistencia de IPv4 / IPv6, como encapsular paquetes IPv6 en cargas de paquetes IPv4, crear túneles GRE y túneles de multidifusión. El punto es que, si bien los túneles pueden ser parte de una configuración de VPN, no representan necesariamente la configuración de VPN completa, sino solo la encapsulación del tráfico entre los puntos finales.
Un túnel VPN utiliza IPSEC que cifra los paquetes, generalmente entre dos LAN conectadas a través de Internet. Los túneles IPSEC no tienen soporte de multidifusión, lo que significa que no puede ejecutar protocolos de enrutamiento dinámico como EIGRP, OSPF e ISIS sobre el túnel.
También hay varias formas de VPN como DMVPN, SSL VPN y GET VPN.
Un túnel GRE puede usarse para muchas cosas, para soportar multidifusión, IPv6 o incluso CLNS, que se usa para ISIS. Un túnel GRE no tiene cifrado que tiene el túnel VPN.
Para obtener soporte para el enrutamiento y el cifrado de los paquetes, es común implementar IPSEC y GRE juntos para que sea compatible para ejecutar protocolos de enrutamiento dinámico sobre él.
También hay otros modos de túnel como IP en IP, 6to4, ISATAP, etc.
Un túnel le brinda una opción de VPN basada en rutas. Esto le permite ejecutar protocolos de enrutamiento sobre sus túneles, lo que permite mejores capacidades de conmutación por error. También puede configurar un solo túnel, luego enrutar muchos prefijos diferentes sobre ese mismo túnel. Si el otro lado agrega un nuevo prefijo, simplemente agregue otra ruta estática al túnel existente. También me resulta más fácil hacer NAT en toda la red para la superposición de subredes VPN, ya que la interfaz del túnel es solo otra interfaz de capa a punto de punto a punto
Los túneles también son útiles para los momentos en que necesita ejecutar dos VRF diferentes en una interfaz que no admite muchas subinterfaces. Un enlace DSL es un ejemplo. En este caso, puede ejecutar un túnel sobre el enlace normal y tener ese túnel en un VRF diferente