How one encrypts traffic in wired LAN segment?
Can IPv6 in combination with IPSec be configured for IKE/ISAKMP authentication?
OR
Will I drown in configuring appropriate IKE host-to-host rules for the ISAKMP?
OR
Should I look towards 802.1X-2010 which according to Wikipedia supports "service identification and optional point to point encryption over the local LAN segment"?
Let's say my LAN segment consists mostly of Windows 7 and higher PCs, few FreeBSD VMs. Switches are moderately modern DLINKs, routers are from Mikrotik.
Вы можете полностью использовать IPSec, без необходимости в IPv6. Очевидно, что потребуется некоторое управление, все хосты должны иметь правила IPSec. В чистой среде Windows / AD это почти просто; все GPO для server <-> client IPSec доступны для использования, и обычно клиенты не разговаривают друг с другом. Исключения, конечно же, могут включать SIP-трафик или любой другой протокол P2P-чата.
Если вы просто реализуете 802.1x, вы неявно доверяете своим авторизованным и аутентифицированным конечным точкам, которые все еще могут прослушивать трафик.