Если по-простому, то можно сделать так: отключить все порты коммутаторов, которые не используются. На коммутаторе настроить port security -- чтобы каждый порт был с привязкой по MAC. Если будет воткнутно устройство с другим MAC-ом, то сеть у него не поднимется. Соответственно, для того, чтобы воткнуть ноут или что-либо другое -- придётся сначала из включенного порта выткнуть то, что туда уже было подключено, и настроить на "нелегальной" железке такой же MAC, как и на легальной.
Либо таки да -- 802.1x. Но для этого нужно и соответствующее оборудование, и поддержка со стороны клиентов (рабочих станций, или чо там ещё у вас в сети).
А на FreeBSD эта задача никак не решается. Можно контролировать доступ в интернет, допустим, через прокси с авторизацией. Но не подключение/отключение устройств в сети, этим в любом случае коммутаторы заведуют. Ну, хотя если решитесь на 802.1x, тогда на фре можно RADIUS-сервер поднять :-)