运行多播或基于多播的路由协议不一定需要 GRE-over-IPsec。“基于隧道”或“基于路由”的 VPN（在思科术语中tunnel mode ipsec ipv4也称为IPsec 虚拟隧道接口）将愉快地传输多播和 EIGRP 或 OSPF。

但是，当您需要跨 IPSec 运行非 IP 协议时，需要 GRE：

在我以前的雇主那里，我们曾经广泛运行MPLS-over-GRE-over-IPSec ，主要使用 GRE 上的 EIGRP 作为 GRT 路由协议，并在其下使用基于证书的 IKEv1 和 IKEv2。

这使我们能够在客户站点拥有与 Cisco 890 系列一样小/便宜的多 VRF CPE，同时允许路径隔离或“分区”：一个用于 ATM 的 VRF 或“区域”，一个用于视频监控，一个用于用于内部数据，一种用于访客 WiFi，一种用于设施管理等。

同时，这些 IPSec 隧道几乎用于任何类型的底层传输（暗光纤、亮光纤、点对点 L2VPN、多点 L2VPN、L3-VPN、电缆或 xDSL 互联网等。

当然，我们更愿意直接在 IPSec 之上运行 MPLS（tunnel mode ipsec ipv4见上文），但 IPsec 不支持 MPLS-over-IPSec（我相信有 - 或者曾经 - 一个 RFC 草案，但它从未实现）。

插件 2018-12-13：

是的，通过 MPLS-o-GRE-o-IPSEC 将 WAN 上的 MTU 缩短到 1400 或更少（如果客户端的本地环路基于 PPPoE，则减去 8！）。PMTUd 进一步变得困难，因为隧道接口实际上不再是 IP 接口，而是 MPLS 接口。因此ip tcp adjust-mss对隧道接口没有影响，并且必须在面向 CE 的接口上进行 TCP MSS 钳位。

当 RSA 密钥变大时，IKEv1 消息的碎片化也是一个难题，最终用 IKEv2 正确解决并且它支持明确定义有效负载大小 ( crypto ikev2 fragmentation mtu <size>)