Натолкнулся на такое сообщение в логе коммутатора CISCO:

%SW_MATM-4-MACFLAP_NOTIF: Host 0015.5d00.1207 in vlan 1 is flapping between port Gi2/0/11 and port Gi3/0/24

К указанным портам подключены серверы адптерами с Hyper-v виртуалками. При этом наблюдаются некоторые подзатыки виртуалок, размещенных на них. Вроде все виртуалки нормально пингуются, на них спокойно можно зайти, но имеется тот «осадочек» из-за которого и начал копать.

Оказалось, что вновь установленная нода с Hyper-V начала выдавать дублирующиеся mac адреса виртуалкам. При сравнении MAC адресов виртуалок на двух нодах я нашел еще несколько штук с одинаковыми MAC адресами.

По умолчанию виртуалкам, без дополнительных настроек,  даются MAC адреса из диапазона 0015.5dxx.xx.xx, текущий диапазон можно посмотреть в реестре в ключах:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Virtualization\MinimumMacAddress

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Virtualization\MinimumMacAddress

При установке роли Hyper-V прописывает туда диапазон по схеме 00 15 5d + младшие 2 октета первого сетевого IPv4 IP сервера.

В нашем случае сервер переустанавливался с тем же IP и 00 15 5d 00 12 07 и да у сервера IP  был xxx.xxx.0.18. Виртуалки с него перед переустановкой были смигрированы не выключаясь на вторую ноду, после чего сервер был переустановлен, и часть виртуалок вернулась, MAC адреса выдаваемые виртуалкам опять выдавались с начала диапазона 00 15 5d 00 12 00 и в какой-то момент наложились друг на друга.

Будте осторожнее, переустанавливая серверы с HYPER-V, проверяйте это место.