802.1X认证环境下某接口mac学习异常问题

S5130S-52P-EI 为接入交换机，配置802.1X认证

4/0/43接口下的终端mac，会通过其他接口学习到。 接口替换测试，故障现象和4/0/43口强相关。

终端e4a8-xxxx-e811正常是接在4/0/43口， 

dis mac-address | include e811

e4a8-xxxx-e811   36         Learned          GE4/0/43                 Y

当接口downup或者终端重启后，此mac地址也会从其他接口（不固定）学到：

1、有此mac地址的mac漂移记录，但结合stp和现场替换接口测试，不存在环路

  ===============display mac-address mac-move===============  

e4a8-xxxx-e811  235      GE3/0/2     GE4/0/43   2026-03-05 16:47:52        2

e4a8-xxxx-e811  235     GE3/0/37     GE4/0/43   2026-03-05 16:43:58        4

2、开启debug dot1x，4/0/43口下的终端e4a8-dfd5-e811重启，当接口up后，会立即从其他接口收到源mac是e4a8-xxxx-e811的eap报文：

%Mar  6 14:16:18:876 2026 H3C IFNET/3/PHY_UPDOWN: Physical state on the interface GigabitEthernet4/0/43 changed to up.

%Mar  6 14:16:18:878 2026 H3C IFNET/5/LINK_UPDOWN: Line protocol state on the interface GigabitEthernet4/0/43 changed to up.

%Mar  6 14:16:18:901 2026 H3C LLDP/6/LLDP_CREATE_NEIGHBOR: -Slot=4; Nearest bridge agent neighbor created on port GigabitEthernet4/0/43 (IfIndex 232), neighbor's chassis ID is e4a8-xxxx-e811, port ID is e4a8-xxxx-e811.

*Mar  6 14:16:19:684 2026 H3C DOT1X/7/PACKET: -Slot=1; 

Received a packet on interface GigabitEthernet1/0/38.

Destination Mac Address=0180-c200-0003

Source Mac Address=e4a8-xxxx-e811

Mac Frame Type=888e

Protocol Version ID=1

Packet Type=1

Packet Length=0.

*Mar  6 14:16:19:682 2026 H3C DOT1X/7/PACKET: -Slot=3; 

Received a packet on interface GigabitEthernet3/0/37.

Destination Mac Address=0180-c200-0003

Source Mac Address=e4a8-xxxx-e811

Mac Frame Type=888e

Protocol Version ID=1

Packet Type=1

Packet Length=0.

之后查看mac地址，能看到现象复现：

dis mac-address | include  e811

e4a8-xxxx-e811   235        DOT1X            GE3/0/37                 N

e4a8-xxxx-e811   36         Learned          GE4/0/43                 Y

将4/0/43口shutdown，debug dot1x了一段时间，也没有收到源mac是e4a8-xxxx-e811的eap报文，也没有从其他接口学到此mac地址

3、测试期间，在接口上做匹配源mac地址是e4a8-xxxx-e811的流统，但只有4/0/43口有计数，debug日志中有收到此mac的eap报文的接口，并没有流统到。

4、进一步查看接口配置，发现接口下没有启用dot1x ， 接口配上dot1x启用后，恢复正常。

interface GigabitEthernet4/0/26

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 36 235 to 236 238 untagged

 port hybrid pvid vlan 36

 mac-vlan enable

 ip verify source ip-address mac-address

 undo dot1x handshake

 dot1x mandatory-domain lan

 undo dot1x multicast-trigger

 dot1x re-authenticate

 dot1x unicast-trigger

 dot1x guest-vlan 235

 dot1x auth-fail vlan 236

 dot1x critical vlan 238

 dhcp snooping binding record

#

出现问题现象的原因：

当接口downup或下接终端重启，终端触发1x认证，发送eapol start 组播报文（目的地址为组播MAC地址0180-c200-0003）。

当4/0/43口未开启dot1x，接口pvid vlan是36，报文会在这个vlan广播转发。有个别在vlan36下的终端（如3/0/37 1/0/38下的）收的这个报文后，又回弹给了交换机（回弹机制不详，正常应该会丢弃掉会自己认证无关的eap报文，交换机中大部分接口其他终端也没这个现象），导致交换机从这些端口也学到了43口终端的mac地址；

当4/0/43口开启了dot1x，交换机从43口收到这个报文，会上送cpu进行1x认证处理，就不会泛洪到其他终端。

恢复接口dot1x配置。另外可以配置上端口隔离，避免接口误删dot1x配置时再次触发此问题。