143.如下图所示的网络,通过以下哪个配置可以实现所有主机都能和主机 C 通信 。但是主机 A 和主 机 B 不能通信?

这是一道关于华为网络设备配置（ACL与流量过滤）的题目。我们需要分析网络拓扑、MAC地址对应关系以及ACL的应用方向，从而找出符合要求的配置。 ### 1. 题目需求分析 * **目标 1**：所有主机都能和主机 C 通信。 * **目标 2**：主机 A 和主机 B **不能**通信。 * **隐含逻辑**：通常这类题目中，A、B、C 连接在同一个交换机或路由器的不同接口上。要阻止 A 和 B 通信，同时允许它们访问 C，最直接的方法是在连接 A 或 B 的接口上，针对发往对方 MAC 地址的流量进行阻断。 ### 2. 关键信息推断（基于常见拓扑和选项） 虽然图片未直接显示，但根据选项中的 MAC 地址和接口 `GigabitEthernet0/0/1`，我们可以推断： * **接口位置**：配置应用在 `GigabitEthernet0/0/1` 接口上。通常这个接口连接的是主机 A 或主机 B 中的一台。 * **MAC 地址映射**： * 选项中出现了三个 MAC 地址： 1. `5489-98ea-4c7c` (作为 destination-mac) 2. `5489-98d3-104d` (作为 source-mac，出现在选项 A、D) 3. `5489-98c0-550e` (作为 source-mac，出现在选项 B、C) * 假设 `GigabitEthernet0/0/1` 连接的是**主机 A**。 * 若要阻止 A 和 B 通信，我们需要在 A 的入口或出口过滤掉发往 B 的流量，或者来自 B 的流量。 * 观察选项 B 和 C，它们试图 deny 源 MAC 为 `5489-98c0-550e` 且目的 MAC 为 `5489-98ea-4c7c` 的流量。 * 观察选项 A 和 D，它们试图 deny 源 MAC 为 `5489-98d3-104d` 且目的 MAC 为 `5489-98ea-4c7c` 的流量。 **结合标准答案 B 进行逆向推导：** * 答案选 B，说明配置是有效的。 * 配置内容：`Acl number 4000` (二层 ACL)，`Rule 5 deny destination-mac 5489-98ea-4c7c source-mac 5489-98c0-550e`。 * 应用位置：`Interface GigabitEthernet0/0/1`，`Traffic-filter inbound acl 4000`。 * **含义**：在接口 G0/0/1 的**入方向**，丢弃**源 MAC** 为 `5489-98c0-550e` 且**目的 MAC** 为 `5489-98ea-4c7c` 的数据帧。 **由此可推断拓扑角色：** 1. `GigabitEthernet0/0/1` 连接的应该是**主机 B**（或者是一个汇聚点，但更可能是直连主机）。如果 G0/0/1 连的是主机 B，那么 `inbound` 方向收到的数据包，其**源 MAC** 应该是主机 B 的 MAC。 * 等等，如果是 `inbound`，数据是从主机进入交换机。此时源 MAC 是主机本身的 MAC。 * 如果 G0/0/1 连的是主机 B，那么进入交换机的流量，源 MAC 是 B 的 MAC。 * 选项 B 中 `source-mac` 是 `5489-98c0-550e`。这意味着 **主机 B 的 MAC 地址是 `5489-98c0-550e`**。 * 选项 B 中 `destination-mac` 是 `5489-98ea-4c7c`。这意味着我们要阻止 B 发给谁？发给 MAC 为 `5489-98ea-4c7c` 的设备。 * 题目要求 A 和 B 不能通信。所以 **主机 A 的 MAC 地址应该是 `5489-98ea-4c7c`**。 * 那主机 C 呢？题目说所有主机都能和 C 通信。只要 ACL 没有阻断发往 C 的流量即可。由于 ACL 只精确匹配了目的 MAC 为 A 的情况，发往 C 的流量（目的 MAC 为 C 的 MAC）不会被这条规则匹配，因此默认允许（假设 ACL 末尾隐含 permit any 或没有其他 deny 规则）。 **验证推断：** * **主机 B MAC**: `5489-98c0-550e` * **主机 A MAC**: `5489-98ea-4c7c` * **接口 G0/0/1**: 连接主机 B。 * **配置动作**: 在 G0/0/1 接口的入方向（从 B 进入交换机），检查数据帧。 * **规则**: 如果 源MAC=B 且 目的MAC=A，则丢弃。 * **结果**: * B 发给 A 的包：被丢弃。-> **A 和 B 无法由 B 发起通信**。 * B 发给 C 的包：目的 MAC 不是 A，不匹配规则，允许通过。-> **B 能和 C 通信**。 * A 发给 B 的包：A 在其他接口（例如 G0/0/2）。A 发出的包进入交换机，交换机查找 MAC 表转发给 B。当包从 G0/0/1 **出方向** 发送给 B 时，本题配置的是 `inbound`，所以不影响 A 发给 B 的流量？**这里有一个陷阱**。 **重新审视“单向阻断”与“双向阻断”：** 通常简单的二层 ACL 配置在某个接口的 inbound，只能控制从该接口进入的流量。 * 如果只在 B 的接口 inbound deny B->A，那么 B 不能主动发给 A。 * 但是 A 可以发给 B 吗？A 发出的包到达交换机，交换机会转发给 B。除非在 A 的接口也做了限制，或者在 B 的接口 outbound 做了限制。 * 然而，题目问的是“主机 A 和主机 B 不能通信”。在早期的华为认证题库或特定实验环境中，有时“不能通信”可能侧重于配置了过滤的一方，或者题目隐含了 ARP 请求也被过滤等机制，导致双向不通。 * 另一种可能性：`GigabitEthernet0/0/1` 连接的不是单一主机，而是连接另一台交换机或 Hub，A 和 B 都在下面？不太像，通常是直连。 * 让我们再看一眼选项 A。 * 选项 A: Source `5489-98d3-104d`, Dest `5489-98ea-4c7c`. Inbound on G0/0/1. * 如果 G0/0/1 连的是 A，且 A 的 MAC 是 `5489-98d3-104d`? 不，Inbound 的 Source 应该是接口所连设备的 MAC。 **让我们根据标准答案 B 的逻辑来梳理最合理的场景：** 1. **确定 MAC 归属**： * 在二层 ACL (`acl 4000`) 中，`source-mac` 指的是以太网帧头中的源 MAC 地址。 * `traffic-filter inbound` 表示对**进入**接口的数据帧进行过滤。 * 因此，`source-mac` 必须是**连接在该接口上的设备**的 MAC 地址。 * 答案 B 中，`source-mac` 是 `5489-98c0-550e`。这说明接口 `GigabitEthernet0/0/1` 连接的设备（假设为主机 B）的 MAC 地址是 `5489-98c0-550e`。 * 规则禁止的目的 MAC (`destination-mac`) 是 `5489-98ea-4c7c`。这说明主机 B 想要通信的目标（主机 A）的 MAC 地址是 `5489-98ea-4c7c`。 2. **分析通信流向**： * **B -> A**: 主机 B 发送数据给 A。数据帧从 G0/0/1 进入交换机。源 MAC = B (`5489-98c0-550e`)，目的 MAC = A (`5489-98ea-4c7c`)。匹配 ACL 规则 `deny`。**通信中断**。 * **B -> C**: 主机 B 发送数据给 C。数据帧从 G0/0/1 进入交换机。源 MAC = B，目的 MAC = C (非 `5489-98ea-4c7c`)。不匹配 deny 规则。默认允许。**通信正常**。 * **A -> B**: 主机 A 发送数据给 B。数据帧从连接 A 的接口（非 G0/0/1）进入交换机。交换机查表后，从 G0/0/1 接口**发出**给 B。 * 注意：答案 B 的配置是 `inbound`。它只过滤进入 G0/0/1 的流量，不过滤从 G0/0/1 出去的流量。 * 理论上，A -> B 的流量不受此 ACL 影响，应该能通。 * **但是**，在很多此类考试题目的语境中，如果 ARP 请求被阻断，或者题目隐含了“配置此 ACL 后实现了隔离”，往往考察的是**主要路径的阻断**或者**ARP 层面的隔离**。 * 更严谨的解释可能是：如果 A 和 B 在同一网段，B 要回复 A 或者建立连接，需要双向。如果 B 无法发送任何包给 A（包括 ARP Reply 或 TCP RST 等），在某些严格定义下或配合其他默认行为，可能被视为“不能通信”。 * 或者，题目中的拓扑可能是：A 和 B 都连接在同一个 VLAN，且 G0/0/1 是上行口？不，MAC 地址是主机的。 * **最常见的考题逻辑**：这类题目通常只要求配置**一端**的过滤即可得分，或者认为阻断了 B->A 就满足了“A和B不能通信”的主要配置意图（尽管 technically A->B 可能还通，但在单选题中，只有 B 选项正确识别了 MAC 角色和方向）。 * 对比其他选项： * **A**: Source `5489-98d3-104d`。如果这是 A 的 MAC，且配在 G0/0/1 inbound，那 G0/0/1 得连 A。如果 G0/0/1 连 A，Dest 是 `5489-98ea-4c7c` (假设是 B?)。如果 A 的 MAC 是 `...104d`，B 的 MAC 是 `...4c7c`。那 A 选项就是阻断 A->B。这也是一个可行的单向阻断。为什么选 B 不选 A？ * 这取决于图中具体的 MAC 地址标注。通常图中会明确标出 Host A, Host B, Host C 的 MAC。 * 假设图中： * Host A MAC: `5489-98ea-4c7c` * Host B MAC: `5489-98c0-550e` …(已截断)