Подскажите, IPSec в локальной сети

[gardarea51]

Всем привет!
Задумался тут на досуге и даже не знаю что почитать и возможно ли такое.

Есть локальная сеть на полсотни компьютеров с Windows, на шлюзе стоит DHCP, который выдает части клиентов постоянные адреса по MAC. Таким образом клиента можно условно идентифицировать по его IP-адресу. На шлюзе таким клиентам есть послабления, к примеру в Squid. Можно подцепиться по VNC на определенный компьютер и быть уверенным, что это компьютер нужного человека.

Но по идее это все ерунда, потому что в сети стоят неуправляемые коммутаторы, на которых даже нельзя привязать MAC-адреса к портам, следовательно идентификация клиента по IP условна. И вот я подумал "а нельзя ли реализовать в сети аутентификацию по IPSec". Но честно говоря даже не знаю в какую сторону посмотреть, ибо везде описан VPN. Мне же нужно в локальной сети просто добиться некой гарантии, что клиент - тот, за кого он себя выдает. Чтобы клиенты как и раньше общались между собой, ходили через шлюз в Интернет, получали адреса от DHCP, пользовались BIND и прочее.

Возможно ли такое в локальной сети? Сейчас для идентификации, фильтрации, ограничений в конфигах шлюза используются IP-адреса, как это выглядит с IPSec даже не представляю.

[jeanjean]

с IPsec просто создаете таблицу с соответствующими парами МАС-IP, все, кто не соответствуют в DROP
В сети есть описания конструкций и даже готовые шаблоны. Ищите вместе с шейпером.

[gardarea51]

Спасибо, нужно будет еще почитать про это.

[cell]

Хоть и с опозданием,но...
Для авторизации в сети лучше подойдёт pppoe, по-моему. IPSEC он из другой сферы, и более геморойный и ресурсоёмкий.