有線LANセグメントのトラフィックをどのように暗号化しますか?
IPv6をIPSecと組み合わせてIKE/ISAKMP認証用に構成できますか?
OR
ISAKMPに適切なIKEホスト間ルールを設定することに溺れますか?
OR
ウィキペディアによると、「ローカルLANセグメントを介したサービス識別とオプションのポイントツーポイント暗号化」をサポートする802.1X-2010に目を向けるべきですか?
私のLANセグメントが主にWindows7以降のPCで構成されており、FreeBSDVMはほとんどないとしましょう。スイッチは適度に最新のDLINKであり、ルーターはMikrotik製です。
すべてIPSecを使用できますが、IPv6は必ずしも必要ありません。明らかに、ある程度の管理が必要になります。すべてのホストにIPSecルールが必要です。純粋なWindows/AD環境では、ほとんど簡単です。サーバー<->クライアントIPSecのGPOはすべて使用可能であり、通常、クライアントは相互に通信しません。例外には、SIPトラフィック、またはその他のP2Pチャットプロトコルが含まれます。
802.1xを実装するだけの場合は、現在承認および認証されているエンドポイントを暗黙的に信頼しているため、トラフィックをスニッフィングする可能性があります。