486.如图所示的网络, 通过以下哪些配置可以实现主机 A 和主机 B 不能相互通信?

### 题目解析 **正确答案：C、D** #### 1. 拓扑与需求分析 * **目标**：实现主机 A 和主机 B **不能**相互通信。 * **隐含拓扑推断**：虽然图片未直接显示，但根据选项中的接口（GigabitEthernet0/0/1, 0/0/2, 0/0/3）和 ACL 配置逻辑，通常此类题目中： * 路由器连接了多个网段或主机。 * ACL 2000 是基本 ACL，仅依据**源 IP 地址**进行过滤。 * `Rule 5 deny source 100.0.12.0 0.0.0.255` 表示拒绝源 IP 属于 `100.0.12.0/24` 网段的流量。 * 假设主机 A 和主机 B 分别位于不同的接口所连网段，或者其中一方属于 `100.0.12.0/24` 网段。为了阻断双向通信，需要在流量进入或离开路由器时，针对该网段的源地址进行拦截。 #### 2. ACL 基本原理回顾 * **基本 ACL (2000-2999)**：只检查数据包的**源 IP 地址**。 * **Traffic-filter inbound**：在接口**入方向**应用 ACL。当数据包**进入**路由器接口时进行检查。如果匹配 deny 规则，则丢弃；否则允许通过。 * **Traffic-filter outbound**：在接口**出方向**应用 ACL。当数据包**离开**路由器接口时进行检查。如果匹配 deny 规则，则丢弃；否则允许发送。 #### 3. 选项逐一分析 **关键假设**：根据常见考题逻辑，通常主机 A 和 B 中至少有一方的 IP 地址属于 `100.0.12.0/24` 网段，或者该网段是连接这两台主机的中间网段/直连网段。我们需要找到能正确拦截源自该网段流量的配置。 * **A. Interface GigabitEthernet0/0/1 Traffic-filter inbound acl 2000** * **分析**：在 G0/0/1 接口的**入方向**应用 ACL，拒绝源为 `100.0.12.0/24` 的流量。 * **结果**：如果主机 A 或 B 连接在 G0/0/1 上，且其 IP 属于该网段，那么它们发出的数据包在进入路由器时会被丢弃。但这只能阻止**从该接口进入路由器**的流量。如果另一台主机也在同一接口下的同一广播域（不太可能，通常是不同接口），或者流量路径不经过此接口的入方向限制，则可能无法完全阻断双向通信。更重要的是，如果 G0/0/1 连接的是非 `100.0.12.0` 网段的主机，此配置无效。若 G0/0/1 连接的是 `100.0.12.0` 网段，它能阻止该网段主机访问其他网络，但其他网络主机访问该网段时，回程流量源 IP 不是 `100.0.12.0`，不会被此 ACL 拒绝（除非对面也配了对称 ACL）。**但在单选题或多选题语境下，通常考察的是“是否能在关键点切断流量”。** 让我们先看其他选项的对比。 * **注意**：很多此类题目中，G0/0/1 和 G0/0/2 分别连接两个不同的主机网段。如果 A 在 G0/0/1 (100.0.12.x)，B 在 G0/0/2。 * A 访问 B：包从 G0/0/1 进，源 IP 是 100.0.12.x。Inbound deny 会拦截。✅ * B 访问 A：包从 G0/0/2 进，源 IP 是 B 的 IP（非 100.0.12.x）。Inbound 不拦截。包从 G0/0/1 出，Outbound 没配 ACL。所以 B 能访问 A。❌ * 因此，仅在 G0/0/1 inbound 配置不能实现**双向**不通。 * **B. Interface GigabitEthernet0/0/3 Traffic-filter inbound acl 2000** * **分析**：在 G0/0/3 接口入方向应用。 * **结果**：如果主机 A 和 B 都不连接在 G0/0/3 上，或者它们的通信流量不经过 G0/0/3 的入方向，则此配置完全无效。通常 G0/0/3 可能是连接上游网络或其他无关网段，对 A-B 通信无影响。 * **C. Interface GigabitEthernet0/0/1 Traffic-filter outbound acl 2000** * **分析**：在 G0/0/1 接口的**出方向**应用 ACL，拒绝源为 `100.0.12.0/24` 的流量。 * **场景推演**： * 假设主机 A 连接在 G0/0/1，IP 为 `100.0.12.x`。主机 B 连接在 G0/0/2。 * **B 访问 A**：数据包从 G0/0/2 进入路由器，路由查找后决定从 G0/0/1 转发出去。此时数据包的目的 IP 是 A，但**源 IP 是 B**。等等，ACL 2000 检查的是**源 IP**。 * 这里有一个常见的陷阱或特定拓扑理解。如果 ACL 意在禁止 `100.0.12.0` 网段作为**源**的通信： * 若 A (`100.0.12.x`) 访问 B：流量从 G0/0/2 出（假设 B 在 G0/0/2）。如果在 G0/0/2 出方向配 deny source 100.0.12.0，则拦截。 * 若 B 访问 A：流量从 G0/0/1 出。源 IP 是 B。不匹配 deny。 * **重新审视题目逻辑**：通常这类题目中，"不能相互通信" 意味着只要切断一个方向的流，或者在两个方向都切断。但基本 ACL 只能基于源地址。 * 让我们换个角度：如果 **G0/0/1 和 G0/0/2 是连接 A 和 B 的接口**。 * **选项 C**：在 G0/0/1 **Outbound** 拒绝源 `100.0.12.0`。 * 如果 A 在 G0/0/1 (`100.0.12.x`)，B 在 G0/0/2。 * A -> B：包从 G0/0/1 进，G0/0/2 出。G0/0/1 Outbound 不影响入口流量。G0/0/2 没有 ACL。通行。 * B -> A：包从 G0/0/2 进，G0/0/1 出。源 IP 是 B。不匹配 `100.0.12.0`。通行。 * **这说明我的拓扑假设可能需要调整，或者对 ACL 作用位置的理解需结合具体华为/H3C 考题惯例。** * **修正思路（基于标准考题库逻辑）**： 在此类经典题库中，拓扑通常是： * Router 连接三个网段。 * G0/0/1 连接网段 1 (例如 100.0.12.0/24，主机 A 在此)。 * G0/0/2 连接网段 2 (例如 100.0.13.0/24，主机 B 在此)。 * G0/0/3 连接其他。 要实现 A 和 B 互不通： 1. **阻止 A 访问 B**：A 发出的包源 IP 是 `100.0.12.x`。 * 可以在 A 的入口接口 (G0/0/1) **Inbound** 拒绝源 `100.0.12.x`。 (对应选项 A 的部分逻辑，但 A 只配了 Inbound，能阻止 A 发出，但不能阻止 B 发给 A，因为 B 发给 A 时，进入路由器的接口是 G0/0/2，源 IP 是 B，不被 G0/0/1 的 Inbound 检查，也不被 G0/0/2 的 Inbound 检查——如果 G0/0/2 没配的话)。 * 可以在 B 的出口接口 (G0/0/2) **Outbound** 拒绝源 `100.0.12.x`？不对，A 访问 B 时，包是从 G0/0/2 **出去** 给 B 的。此时包的源 IP 是 A (`100.0.12.x`)。所以在 G0/0/2 **Outbound** 应用 `deny source 100.0.12.0` 可以阻止 A 访问 B。 2. **阻止 B 访问 A**：B 发出的包源 IP 是 `100.0.13.x` (假设)。 * 可以在 B 的入口接口 (G0/0/2) **Inbound** 拒绝源 `100.0.13.x`。 * 可以在 A 的出口接口 (G0/0/1) **Outbound** 拒绝源 `100.0.13.x`。 **但是**，题目中的 ACL 只有 `deny source 100.0.12.0`。这意味着我们只能过滤**源地址为 100.0.12.0/24** 的包。 * 这只能阻止 **A 发起的通信** (A -> B)。 * 它**无法**直接阻止 B 发起的通信 (B -> A)，因为 B -> A 的包源地址是 B 的 IP，不是 100.0.12.0。 **难道题目隐含 A 和 B 都在 100.0.12.0 网段？** 如果 A 和 B 都在 `100.0.12.0/24` 网段，且通过路由器连接（例如不同 VLAN 或子接口，或者题目图示其实是两台主机在不同接口但同网段，这在三层路由中较少见，通常是二层交换）。如果是三层路由，同网段通常直连或通过交换机，不经过路由器路由。 **另一种可能性：题目考察的是“哪些配置 *有助于* 或 *部分* 实现”，或者是多选题中 CD 组合起来？** 不，题目问的是“通过以下**哪些**配置...”，选项是独立的配置片段。答案给的是 CD。这意味着 C 和 D 都是正确的配置方式？或者 C 和 D 组合？通常多选题是每个选项独立判断。 让我们仔细看 **选项 C** 和 **选项 D** 的接口和方向： * **C**: G0/0/1, Outbound, Deny Source 100.0.12.0 * **D**: G0/0/2, Inbound, Deny Source 100.0.12.0 如果答案是 CD，说明这两个配置**各自**都能达到目的？或者**同时配置** C 和 D 才能达到目的？ 如果是“以下哪些配置可以实现”，通常指选中这些选项后生效。如果选 C 和 D，即同时应用 C 和 D。 **假设拓扑：** * 主机 A 连接在 G0/0/1，IP: `100.0.12.1/24`。 * 主机 B 连接在 G0/0/2，IP: `100.0.12.2/24`？ 不，如果同网段，路由器不介入。 * 主机 B 连接在 G0/0/2，IP: `192.168.1.1/24`。 **如果只配 C (G0/0/1 Outbound Deny 100.0.12.0):** …(已截断)