你遇到的这个未知MAC设备问题确实挺让人疑惑的，先梳理下你已经做的排查动作：

• 确认所有iOS设备都关闭了私有MAC地址
• 检查DHCP日志未发现设备名称
• 尝试SSH连接、ping该设备IP均无响应
• 定期运行netstat-nat未看到该IP的流量记录
• 查询MAC地址未匹配到已知厂商
• 排除了非管理交换机的可能性（这类设备不会发起DHCP请求）

而且你已经明确它是通过桥接模式的Airport Extreme接入网络，通过/usr/sbin/brctl showmacs br0观察到它每90秒左右活跃一次，还推测它必然知道你的WiFi密码（否则无法连接到桥接后的路由器获取DHCP）。

结合这些信息，我再给你补充几个实用的排查方向：

• 抓包分析设备行为：既然它每90秒会活跃一次，你可以用tcpdump或者Wireshark在Airport Extreme桥接的网段抓包，过滤这个未知MAC的流量。重点看它每次DHCP请求的细节，或者有没有ARP请求、零星的广播包，这些都能帮你判断它的设备类型和行为特征。
• 临时黑名单测试：在Airport Extreme的设置里把这个MAC地址加入WiFi黑名单，然后观察1-2天，看看家里有没有设备（比如智能灯泡、旧手机、摄像头）突然无法联网。有些IoT设备可能不会立刻弹出报错，需要留意家人的设备使用反馈，这样能反向定位未知设备的身份。
• 逐一排查IoT智能设备：很多小厂商的智能家居设备（比如温湿度传感器、智能插座）不会设置主机名，且MAC地址可能不在公开的厂商数据库里。你可以逐一重启家里的智能设备，每次重启后观察brctl showmacs br0的输出，看这个未知MAC是否消失或重新出现，以此锁定目标。
• 查看Airport Extreme的WiFi日志：Airport Extreme应该会记录所有WiFi设备的连接历史，包括MAC地址、连接时间、断开时间等信息。你可以找找这个未知MAC的连接时段，结合家里的使用场景（比如是不是每天固定某个时间活跃），判断它是不是定时联网的设备。
• 手动分配固定IP并监控：在DHCP服务器里给这个未知MAC手动分配一个固定IP，之后用arp -a或者简单的网络监控工具持续观察，看它有没有和其他设备产生交互，或者有没有向外发送的请求——哪怕是极少量的流量，也能给你提供线索。
• 排查WiFi密码泄露风险：既然它能成功接入你的WiFi，要么是知道密码的设备，要么是密码被破解。你可以回忆下有没有把WiFi密码共享给访客，或者使用了弱密码；也可以临时修改WiFi密码，观察这个未知MAC是否还能获取IP，以此判断是不是授权设备误连。

备注：内容来源于stack exchange，提问作者Bram