Как шифровать трафик в сегменте проводной ЛВС?
Можно ли настроить IPv6 в сочетании с IPSec для аутентификации IKE / ISAKMP?
ИЛИ
Смогу ли я утонуть в настройке соответствующих правил обмена данными между хостами IKE для ISAKMP?
ИЛИ
Стоит ли мне смотреть на 802.1X-2010, который, согласно Википедии, поддерживает «идентификацию услуг и дополнительное двухточечное шифрование в сегменте локальной сети»?
Скажем, мой сегмент локальной сети состоит в основном из ПК с Windows 7 и выше и нескольких виртуальных машин FreeBSD. Коммутаторы в меру современные DLINK, роутеры от Mikrotik.
Вы можете полностью использовать IPSec, без необходимости в IPv6. Очевидно, что потребуется некоторое управление, все хосты должны иметь правила IPSec. В чистой среде Windows / AD это почти просто; все GPO для server <-> client IPSec доступны для использования, и обычно клиенты не разговаривают друг с другом. Исключения, конечно же, могут включать SIP-трафик или любой другой протокол чата P2P.
Если вы просто реализуете 802.1x, вы неявно доверяете своим авторизованным и прошедшим проверку подлинности конечным точкам, которые все еще могут прослушивать трафик.