Você provavelmente deseja usar o IPSEC no modo de transporte . Vagamente relacionadas são discussões sobre criptografia oportunista . Esse termo lhe dará muitos guias sobre implementação. Deixar cair a parte "fallback" daqueles fornecerá o que você quer.
Você pode fazer isso de nó a nó (cada máquina) ou estabelecê-lo entre seus pontos de estrangulamento de roteamento ... provavelmente nos roteadores de borda.