如何加密有线 LAN 段中的流量?
是否可以将 IPv6 与 IPSec 结合配置为 IKE/ISAKMP 身份验证?
或者
我是否会陷入为 ISAKMP 配置适当的 IKE 主机到主机规则的困境?
或者
我是否应该关注 802.1X-2010,根据维基百科,它支持“通过本地 LAN 段进行服务识别和可选点对点加密”?
假设我的 LAN 部分主要由 Windows 7 及更高版本的 PC 组成,少量 FreeBSD VM。交换机是适度现代的 DLINK,路由器来自 Mikrotik。
答案1
您可以全使用 IPSec,而不必使用 IPv6。显然需要进行一些管理,所有主机都需要有 IPSec 规则。在纯 Windows/AD 环境中,这几乎很容易;服务器<->客户端 IPSec 的 GPO 都可以使用,并且客户端通常不会相互通信。当然,例外情况可以包括 SIP 流量或任何其他 P2P 聊天协议。
如果您只是实施 802.1x,则您隐式地信任您现在已授权和验证的端点,这些端点仍然可以嗅探流量。