>Объясните, пожалуйста, в чем разница между вариантом VPN'а через просто Site-to-Site IPsec
>и VTI IPSec? В каких случаях надо использовать тот или другой
>вариант?

Не вдаваясь в глубины теории...

Преимущества IPSec VTI по сравнению с plain IPSec:
1. Проще настраивать и контролировать трафик
2. Проще реализовывать QoS для туннеля
3. Через IPSec VTI может ходить multicast, а следовательно и протоколы динамической маршрутизации - OSPF, EIGRP, IS-IS, you name it...

Недостатки IPSec VTI по сравнению с plain IPSec:
1. Поддерживается только Cisco (+ достаточно современный IOS)
2. Поддерживает только туннельный режим, не поддерживает транспортный режим
3. Больше заголовок пакетов по сравнению с plain IPSec

Преимущества IPSec VTI по сравнению с DMVPN:
1. Меньше заголовок пакета чем в DMVPN (GRE+key+IPSec > IPSec VTI)
2. Проще настраивать
3. Не требует NHRP

Недостатки IPSec VTI по сравнению с DMVPN:
1. Не поддерживается прямое Spoke-to-Spoke взаимодействие