一些供应商支持IEEE 802.1ae/MACsec用于接入交换机及其端点之间的第二层加密。恐怕我无法提供更多帮助，因为我没有这方面的经验（坦率地说，这听起来像是一场噩梦）。

正如您所要求的那样，绝对没有一种提供端到端加密的方法，但是您希望防止的数据包嗅探实际上只能在典型的公司环境中的少数几个地方执行。1 - 设备之间的物理网络分路器 2 - 设备上的跨接/监控端口 3 - 攻击迫使流量去到它不想要的地方。

对于#1 - 正如@Jeremy Stretch 提到的，IEEE 802.1ae/MACsec 可以在设备之间逐跳使用，因此点击只能看到加密数据。虽然数据在交换机中是“清晰的”（参见 #2），但在转发到下一跳之前，这通常需要应用所需的 QoS、安全性和其他控制。然而，它是相当新的并且需要兼容的端点和交换机。

对于#2 - 您的物理和网络安全策略应该限制对网络设备的访问，以防止攻击者获得访问权限。在每个桌面上使用 VPN 客户端并在服务器附近使用集中器可以提供另一层保护，以防止中间的第三方。在端点之间通过 SSH 进行端口转发/隧道是另一种选择，以及像 @fredpbaker 提到的那样无处不在的 IPSec 让你更接近一些，但它很难实现。

对于 #3 - 大多数企业网络设备都有减轻 MITM/ARP 攻击、恶意 DHCP 服务器、生成树攻击和其他旨在将流量重定向到攻击者可以侦听的位置的工具。

最后，您可以使用一种或所有这些技术来更好地保护运行中的数据。只有将这些与用于保护静态数据、端点、物理安全以及大量时间和金钱的强大安全策略相结合，才能真正实现您概述的目标！

如果你是一个完整的 Windows 商店，你可以在几乎所有的计算机之间运行 IPSEC，这是在组策略中完成的，但计划很复杂，因为你不能加密你登录的工具（DHCP 不能加密）。不适合胆小的人，没有人真的是微软的全部。

根据思科在 CLUS13 上的说法，这可以通过 OnePK 来完成。

您将所有流量卸载到加密设备（您自己设计的或某个第三方），然后让您的加密设备将所有内容发送回您的设备并正常处理流量。

对此没有太多详细说明，但它可能只发生在 L3 流量中，并且可能比它的价值要麻烦得多，除非您有一些非常模糊的安全要求。