Você diz "WPA2", mas suspeito que não esteja procurando criptografia, mas sim autenticação. (Se você estiver procurando por criptografia, pule para a edição no final desta resposta.)
Suspeito que você esteja procurando por uma autenticação 802.1X .
802.1X permite que você tenha clientes com fio (e sem fio) autenticados antes de receber acesso à rede. Todas as versões atualmente suportadas do Windows suportam 802.1X, assim como a maioria dos outros sistemas operacionais modernos. Seus switches Ethernet (e / ou pontos de acesso sem fio) também precisarão suportar 802.1X, o que permite que o switch restrinja o tráfego até que o cliente seja autenticado.
Normalmente, os switches (e / ou pontos de acesso sem fio) seriam configurados para usar um servidor RADIUS que realmente realiza a autenticação. O servidor RADIUS teria definições de política de forma que cada um dos seus switches não precisasse estar ciente dos clientes permitidos, mas, ao invés disso, poderia apenas descarregar essa decisão para o servidor RADIUS. Isso lhe dá muita flexibilidade na definição de políticas e permite escala.
A autenticação atual usa o Protocolo de Autenticação Extensível (EAP). O EAP permite que várias credenciais de autenticação sejam usadas, incluindo usuário / senha ou certificados.
Editar:
Se você estiver procurando por criptografia, então o IPsec com ESP (payload de segurança de encapsulamento) é provavelmente o caminho a ser seguido. (Indiscutivelmente, você também pode usar o IPsec para autenticação, mas não obterá segurança na camada 2, como acontece com o 802.1X). O IPsec pode ser estaticamente digitado com uma chave pré-compartilhada, não diferente do WPA2, ou pode ser usado com certificados ou senhas (via EAP).