não sei se bloquear pelo MAC seria uma boa atitude. Pode até funcionar, mas lembre-se que access points SOHO possuem uma feature que permite clone de MAC. Portanto, o access point pode assumir o MAC da workstation, mascarando o mac do Access Point.
Nessas situações, geralmente, utiliza-se port security e BDPU guard.
O port security, simplesmente, vai limitar uma quantidade X de mac aprendido na interface.
Mesmo assim, nào há garantias, pois pode ser qualquer MAC. O que vai garantir, é a quantidade de usuários que utilizará o access point, se o mesmo for plugado.
A melhor solução é:
- Política clara para usuários, dizendo o que pode e o que não pode (se fizer algo errado, será punido de acordo).
- Colocar equipamentos em racks fechados ou salas com acesso controlado
Sobre se seu switch é multilayer ou não, dá um "show version" e veja o modelo do equipamento. Acesse o site da Cisco e lá mostrará. Ou cole aqui.