Você pode ir todo o IPSec, sem necessidade de IPv6 necessariamente. Obviamente, haverá algum gerenciamento necessário, todos os hosts precisam ter as regras IPSec. Em um ambiente Windows / AD puro, é quase fácil; os GPOs para servidor IPSec do cliente estão disponíveis para uso e geralmente os clientes não conversam entre si. As exceções podem incluir tráfego SIP, é claro, ou qualquer outro protocolo de bate-papo P2P.
Se você acabou de implementar o 802.1x, está implicitamente confiando em seus endpoints agora autorizados e autenticados, que ainda poderiam detectar o tráfego.