482.如图所示的网络, 通过以下哪些都置可以实现主机 A 和主机 B 不能相互通信?

这是一道关于华为网络设备 ACL（访问控制列表）配置及流量过滤方向的经典题目。为了给出准确的解析，我们需要结合网络拓扑逻辑和 ACL 的工作原理进行分析。 ### 1. 拓扑与需求分析 * **目标**：实现主机 A 和主机 B **不能**相互通信。 * **关键信息推断**： * 虽然图片未直接显示，但根据选项中的 ACL 规则 `deny source 100.0.12.0 0.0.0.255`，我们可以推断主机 A 和主机 B 所在的网段或者中间链路涉及 `100.0.12.0/24` 网段。通常在这类题目中，`100.0.12.0` 往往是连接两台路由器或交换机之间的互联地址段，或者是源主机的网段。 * 更常见的情况是：主机 A 和 B 分别连接在不同的接口上，或者通过某个中间设备通信。ACL 2000 是基本 ACL，只匹配**源 IP 地址**。 * 要阻断双向通信，通常需要确保从 A 到 B 的流量被丢弃，且从 B 到 A 的流量也被丢弃。或者在关键路径上阻断其中一方的源地址流量，如果拓扑是对称的或单点故障式的阻断，可能需要特定的接口和方向。 *让我们仔细审视选项中的配置逻辑：* * **ACL 规则**：`acl number 2000 rule 5 deny source 100.0.12.0 0.0.0.255` * 这条规则的意思是：**拒绝**源 IP 地址属于 `100.0.12.0/24` 网段的所有流量。 * 注意：基本 ACL (2000-2999) 只能基于源 IP 进行过滤。 * **隐含的拓扑结构推测**： 通常这类题目中，主机 A 和 B 位于路由器的不同侧。假设： * 主机 A 的 IP 可能属于 `100.0.12.0/24` 或者其流量经过该网段。 * 或者，更有可能的是，题目考察的是在**哪个接口的哪个方向**应用 ACL 才能有效截获来自 `100.0.12.0/24` 网段的流量。 * **重新审视标准答案 AD 的逻辑**： 如果答案是 AD，说明在 G0/0/1 的出方向（outbound）和 G0/0/2 的入方向（inbound）应用该 ACL 可以阻断通信。这暗示了流量的路径。 让我们假设一个典型的三接口路由器或交换机场景，或者两台设备互联： * 如果主机 A 和 B 通信需要经过某个核心设备。 * **选项 A**: `Interface GigabitEthernet0/0/1 traffic-filter outbound acl 2000` * 在 G0/0/1 接口的**出方向**过滤。这意味着数据包已经通过设备处理，准备从 G0/0/1 发送出去时进行检查。如果数据包的**源地址**是 `100.0.12.0/24`，则被丢弃。 * **选项 D**: `Interface GigabitEthernet0/0/2 traffic-filter inbound acl 2000` * 在 G0/0/2 接口的**入方向**过滤。这意味着数据包刚从 G0/0/2 进入设备时进行检查。如果数据包的**源地址**是 `100.0.12.0/24`，则被丢弃。 * **为什么选 A 和 D？** 这通常意味着主机 A 或 B 的 IP 地址属于 `100.0.12.0/24`，或者它们之间的通信流量源地址被视为该网段。 * **情景假设 1**：主机 A 的 IP 是 `100.0.12.x`。 * 当 A 发送数据给 B 时，源 IP 是 `100.0.12.x`。 * 如果我们在 A 连接的接口的**入方向**做限制，或者在 B 连接的接口的**出方向**（如果 B 回包）... 等等，ACL 2000 只看源。 * 如果要阻断 A 访问 B：需要在 A 发出的路径上阻断源为 `100.0.12.x` 的包。 * 如果要阻断 B 访问 A：需要在 B 发出的路径上阻断源为 B 的 IP 的包。但 ACL 2000 规则只写了 deny `100.0.12.0`。这说明**只有源地址为 100.0.12.0 网段的流量会被阻断**。 * 因此，题目隐含的意思可能是：**只要阻断了源地址为 100.0.12.0 网段的流量，就能达到“不能相互通信”的效果？** 这只有在一种情况下成立：**主机 A 和主机 B 中，至少有一方的 IP 属于 100.0.12.0/24，且另一方的通信也依赖于此？或者题目其实是单选变多选，或者有特定的拓扑使得双向流量都经过某处且源地址特征符合？** * **更合理的解释（基于常见题库逻辑）**： 很多此类题目中，`100.0.12.0/24` 是**互联链路**网段，而主机 A 和 B 分别在两端。但基本 ACL 无法区分目的地址。 让我们换个角度：**是否题目中的主机 A 和 B 的 IP 都在 100.0.12.0/24 网段？** 不太可能，同一网段通常直连或通过二层交换，不需要路由 ACL。 **最可能的拓扑**： 路由器 R1 连接主机 A（例如在 G0/0/1），路由器 R2 连接主机 B（例如在 G0/0/2），中间可能有链路。 或者，这是一台三层交换机/路由器，G0/0/1 连接主机 A，G0/0/2 连接主机 B。 假设主机 A 的 IP 是 `100.0.12.1`，主机 B 的 IP 是 `100.0.13.1`（举例）。 * A -> B: 源 `100.0.12.1`。 * B -> A: 源 `100.0.13.1`。 * ACL 规则只 deny `100.0.12.0/24`。 * 如果只应用这个 ACL，只能阻断 A -> B，不能阻断 B -> A。 * **但是**，题目问的是“哪些配置可以实现...不能相互通信”。如果选项是组合拳呢？不，选项是独立的配置片段。 **修正思路：查看是否存在笔误或特定语境** 在某些华为认证题库中，这道题的图可能显示主机 A 和 B **都**位于 `100.0.12.0/24` 网段的不同子网？或者，更常见的是，**题目其实想表达的是阻断特定方向的流量，或者图中有两条路径？** 让我们再看一眼答案：**AD**。 如果 A 和 D 都是正确答案，这意味着： 1. 配置 A 能阻断通信。 2. 配置 D 能阻断通信。 这说明在 G0/0/1 的 out 方向和 G0/0/2 的 in 方向，都能捕获到源地址为 `100.0.12.0/24` 的关键流量。 **典型拓扑还原**： 通常这种图是： * Host A 连接在 Router 的 G0/0/1 接口（或该接口所在 VLAN/网段）。 * Host B 连接在 Router 的 G0/0/2 接口（或该接口所在网段）。 * 或者，Host A 和 Host B 分别连接在两个不同的设备上，中间通过 Router 连接。 假设 Host A 的 IP 是 `100.0.12.10`。 * 当 Host A 向 Host B 发送数据时，数据包进入路由器。 * 如果 Host A 连接在 G0/0/1： * 流量从 G0/0/1 **inbound** 进入。 * 流量从其他接口（如 G0/0/2）**outbound** 发出。 * 如果 Host A 连接在 G0/0/2： * 流量从 G0/0/2 **inbound** 进入。 **分析选项 A**：`Int G0/0/1 traffic-filter outbound acl 2000` * 在 G0/0/1 出方向过滤。 * 如果 Host B 连接在 G0/0/1，那么 Host A 发给 Host B 的流量，最终要从 G0/0/1 出去。此时源 IP 是 Host A 的 IP。如果 Host A 的 IP 是 `100.0.12.x`，则被阻断。 * 同时，Host B 回复给 Host A 的流量，是从 G0/0/1 **inbound** 进来的，**不会**被 outbound 的 ACL 匹配（除非回程流量源也是 100.0.12.x，即 Host B 也是这个网段？如果双方都是这个网段，那就会双向阻断）。 **分析选项 D**：`Int G0/0/2 traffic-filter inbound acl 2000` * 在 G0/0/2 入方向过滤。 * 如果 Host A 连接在 G0/0/2，流量一进来就被检查。源 IP 是 `100.0.12.x`，被阻断。 **结论推导**： 这道题最合理的解释是：**主机 A 的 IP 地址属于 100.0.12.0/24 网段**。 为了实现“A 和 B 不能相互通信”，实际上只要**单向阻断**往往在考试中也被视为“不能通信”（因为 ping 不通，或者业务中断），或者题目隐含了双向都需要阻断但仅提供了针对源地址 100.0.12.0 的规则，这意味着**只要把源自 100.0.12.0 的包丢掉，A 就无法发起通信，或者 A 收不到回包（如果 B 也在该网段）**。 但在华为题库的语境下，通常考察的是**ACL 应用的位置和方向是否正确匹配了数据流的走向**。 * **假设拓扑**： * 路由器有三个接口或更多。 * Host A (IP: 100.0.12.1) 连接在左侧。 * Host B (IP: x.x.x.x) 连接在右侧。 …(已截断)