MAC-Filter mit Whitelist (nur bekannte MAC-Adressen sind erlaubt) bringt dich schonmal weiter...
Hast vllt einen managed Switch? dann würds über PortSecurity gehen (an diesem Port, darf nur diese MAC online gehen, und in der firewall begrenzt du dann wieder diese mac => perfekte lösung)
so ein switch ist halt ned besonders günstig
für bessere vorschläge müsste ich mehr über das Netzwerk wissen