Если нет возможности ограничить на уровне сетевого оборудования, используя умные свитчи, то можно ограничить и на более высоком уровне — настроить какой-нибудь PPPoE или OpenVPN, к примеру. Хотя это не спасет от деструктивных атак — если кто-то захочет положить сетку из обычных свитчей, то помешать ему можно только добрым ударом по почкам.
Вычислить же его довольно просто — отключаете физически один из линков в центральном коммутаторе, и если злоумышленник более не пингуется (не отвечает на ARP запросы) то идете смотреть кто включен в тот свитч который вы отрубили. Ну и так далее.