Pode deixar sem o reply-only. Para amarrar sua rede você preeche todos os ip restante de sua rede com outro mac, assim quem configurar com o ip que está sobrando não vai ter acesso pois o mac não vai bater. Tip, se você tiver uma rede 192.168.0.1/24 e usa apenas 100 destes ips, você seta o restante com o mesmo mac e quando for cadastrar alguém só alterar. Apesar de configurar a access list também. Tente isto ae...