Câu trả lời:
Giao diện đường hầm có nhiều ứng dụng, bao gồm cả việc tham gia cấu hình VPN lớn hơn. Thiết lập VPN thường có nhiều phần, bao gồm mã hóa, xác thực, định tuyến và cuối cùng là đường hầm. Đường hầm cũng được sử dụng cho các thiết lập cùng tồn tại của IPv4 / IPv6, chẳng hạn như đóng gói các gói IPv6 trong các tải trọng của gói IPv4, tạo các đường hầm GRE và đường hầm đa hướng. Vấn đề là trong khi các đường hầm có thể là một phần của thiết lập VPN, chúng không nhất thiết phải đại diện cho toàn bộ cấu hình VPN, mà chỉ đóng gói lưu lượng giữa các điểm cuối.
Đường hầm VPN sử dụng IPSEC mã hóa các gói, thường là giữa hai mạng LAN được kết nối qua Internet. Các đường hầm IPSEC không có hỗ trợ phát đa hướng, điều đó có nghĩa là bạn không thể chạy các giao thức định tuyến động như EIGRP, OSPF và ISIS qua đường hầm.
Ngoài ra còn có nhiều dạng VPN khác nhau như DMVPN, SSL VPN và GET VPN.
Một đường hầm GRE có thể được sử dụng cho nhiều thứ, để hỗ trợ phát đa hướng, IPv6 hoặc thậm chí CLNS được sử dụng cho ISIS. Đường hầm GRE không có mã hóa mà đường hầm VPN có.
Để được hỗ trợ cho cả định tuyến và mã hóa các gói, người ta thường triển khai IPSEC và GRE để hỗ trợ chạy các giao thức định tuyến động trên nó.
Ngoài ra còn có các chế độ đường hầm khác như IP trong IP, 6to4, ISATAP, v.v.
Một đường hầm cung cấp cho bạn một tùy chọn VPN dựa trên tuyến đường. Điều này cho phép bạn chạy các giao thức định tuyến qua các đường hầm của bạn, cho phép khả năng chuyển đổi dự phòng tốt hơn. Bạn cũng có thể thiết lập một đường hầm duy nhất, sau đó định tuyến nhiều tiền tố khác nhau trên cùng một đường hầm đó. Nếu phía bên kia thêm tiền tố mới, chỉ cần thêm một tuyến tĩnh khác vào đường hầm hiện có. Tôi cũng thấy việc thực hiện NAT trên toàn mạng dễ dàng hơn đối với các mạng con VPN chồng chéo vì giao diện đường hầm chỉ là một giao diện điểm-điểm lớp 3 khác
Đường hầm cũng thuận tiện cho những lúc bạn cần chạy hai VRF khác nhau trên một giao diện không hỗ trợ nhiều giao diện con. Một liên kết DSL là một ví dụ. Trong trường hợp này, bạn có thể chạy một đường hầm qua liên kết thông thường và có đường hầm đó trong VRF khác