Postado originalmente por
sergio
Se está amarrando IPxMAC em IP/ARP, interfaces em Reply-Only (no caso do wireless ainda pode usar a opção Default Authenticate como disable e criar Access List, habilitando apenas a opção default authenticate para cada um) não tem jeito. A não ser que estejam clonando MACxIP, pois desta forma vão usar como se fosse um cliente cadastrado. Outro detalhe é não deixar nenhum IP configurado nas interfaces, com roteamento ou nat habilitado, pois se alguém usar o mesmo como gateway poderá navegar (se burlar as regras de autenticação) sem controle de banda.
Dica: use criptografia WPA2, feche sua rede, se puder implemente PPPoE ou HotSpot para prover uma camada a mais de segurança.