Таки сделать привязку по макам, лишним не будет, ограничить пул раздаваемых адресов - не давать больше чем нужно(а всех любителей посидеть в интернете с телефонов можно вывести вообще в отдельную сеть). Нарезать сеть на под-сети(по отделам ,например), и закрыть их друг от друга. А в подсеть с серверами/сервисами - вообще акромя как vpn'ом не пущать. Ну, очевидно еще, что закрыть физический доступ к свичам, в боксы там прятатать.
Н