实际上，唯一的方法是始终使用加密传输协议。大多数应用程序协议和许多设备都支持 SSL/TLS。

在 LAN 中使用 IPsec、MACsec 或各种加密隧道机制将要求终端节点使用该协议——您可以在这里忘记大约 95% 的通用设备。这些将需要一个额外的“加密盒”，将他们的流量加密到 LAN 的其余部分，具体取决于您实际推出的协议。

保护 LAN 的另一个选择是使用 VLAN (@JFL) 隔离安全区域。这样，您可以将不太受信任的节点与更受信任和敏感的节点分开。VLAN 之间的流量要么完全被拒绝，要么被中间路由器上的防火墙规则/ACL 严格控制，使得攻击（几乎）不可能。

两个端点之间的加密安全流量。

这要求端点能够加密流量。如果您使用一些不具备该功能的设备，那么正如 Zac67 在他的回答中所暗示的那样，您需要将它们放在执行此加密的设备后面。这是昂贵的并且根本无法扩展，这就是为什么通常是路由器执行加密的原因。

因此，您使用非加密设备对 LAN 上的所有流量进行加密的要求根本无法满足。

您可以根据设备的功能将设备分成不同的类别，并将它们放在具有适当安全配置的单独 VLAN 中，例如

Windows、Linux 和 MacOs 主机支持 ipsec（和 802.1X），因此您可以在其专用 VLAN 中加密这些主机的所有流量

对于所有其他主机，如果特定设备支持，加密只能在更高级别（SSL/TLS、HTTPS...）上进行。因此，将它们放在具有严格过滤功能的特定 VLAN 中是您的最佳选择。

但是您需要写下您的安全要求和威胁模型，以评估您愿意为此付出的努力。这可能会有很长的路要走，而且成本很高。

通常，所有应用程序流量都经过加密并通过网络发送，并在到达目的地后使用 SSL 和 TLS 版本等进行解密。使用外部加密和解密设备不是强制性的。

IPsec 是出于安全目的而提供的。IPsec 是两种协议 AH 和 ESP 的组合。提供机密，诚信，数据身份验证.. IPsec主要用于保护站点到站点vpn隧道之间的数据..