真正的神級解答。學到很多。

謝謝前輩的回覆，訊息量很大~我需要消化一下，再把圖畫出來。

追蹤雷神都能學到很多

大神解說真詳細，另外想請問大神：

3. .129 的 IP Stack 拿自己的 Netmask 來運算, 發現 .3 是同網段
4. 所以 .129 直接把 Echo Replay 封包丟給 .3 (依據 RFC 標準執行同網段傳輸)

這樣封包可以丟回到 .3 嗎？不是認為同網段了，所以應該不會往 .2 的 Gateway 丟吧？還是因為是回應的關係，知道封包是從 .2 轉來的，所以還是會往 .2 丟？

謝謝！

可以直接丟給.3喔; 他並不會因為封包是由 .2 轉來的, 就被約束成:忽略 Netmask, 只能回給 .2 (如果有哪個 RFC 這樣寫, 還請告知編號); 所有封包在發送之前, 都要經過 Netmask 運算, 只要運算出來發現是同網段, 他就直接走 Layer 2 發送給 .3, 不會經過 Layer 3 的路由處理. (所以在此例中, 雖然 Echo request 是被 .2 轉送過來, 但回 Echo reply 並不會經過 .2)

IP 的接收與發送是兩個各自獨立的處理程序, 所以發送時並不會 受到過去接收資訊的影響, 他仍然會有自己的獨立判斷. 每一個封包的每一次發送, 都要重新算一次 Netmask 結果, 來決定這個封包該往哪裡丟?

您的意思是，如果中間的是 Switch ，那麼在 .3 丟給 .129 時，用的是 Layer 3 功能，但是在 .129 丟回給 .3 時，用的是 Layer 2 功能，我還真只單純的想成了只有 Router 的功能。

如果中間是 Router ，那 .129 的封包是不是就無法丟回給 .3 了？

如果中間的是 Switch ，那麼在 .3 丟給 .129 時，用的是 Layer 3 功能，但是在 .129 丟回給 .3 時，用的是 Layer 2 功能

事實上, 樓主的圖改畫成這樣, 一切就都正確:

我不知道在這張圖上, .2 算不算放在中間?

看到這張圖，回憶就回來了，好久好久以前，還是資淺菜鳥工程師的時候，公司的環境好像就是這樣設計的，那個時候 Switch 剛出來，還是 Hub 的天下，更沒有什麼 Layer 幾的 Switch。

如果是這種架構，.3 跟 .129 溝通就應該不會有問題。

應該算在中間吧。

.3 跟 .129 溝通就應該不會有問題。

.3發起的溝通不會有問題，但.129發起的全新溝通會找不到.3。

請教大大:如2023.09.13 更新，增加一台 Router，但是從PC1 (192.168.26.3) pin router(192.168.26.2) 可以通，但是 pin PC0(192.168.26.129) 卻不通，不知道是否Cisco Packet Tracker 哪邊設定有問題?

(刪....剛回的資訊不正確, 太多題目我回到自己亂了; 重新整理後再回...)

但是 pin PC0(192.168.26.129) 卻不通，不知道是否Cisco Packet Tracker 哪邊設定有問題?

我不確定這是甚麼原因, 因為我並不瞭解模擬器裡面, 他對於非對稱路由的處理原則是甚麼? 有可能在模擬器內部就已經預設將它阻擋掉了.

您可能要先去找一個, 可以在模擬器裡面跑非對稱路由的案例來測看看....

此外, 非對稱路由需要用到 ICMP Redirect 功能, 但很多現代的設備(或者 OS), 出廠預設就是關閉 ICMP Redirect, 這樣自然就不會通.

ICMP Redirect 的資安弱點是在 1999 年被發現的, 在那之後才問世的設備或軟體, 都有可能出廠預設關閉 ICMP Redriect, 導致非對稱路由不通 (CVE-1999-1563
CVE-1999-0265)

除非像 Cisco 的 FWSM 3.x 和 ASA 7.x 那樣, 有特別提到可以支援非對稱路由; 其他採用 Stateful 技術的防火牆, 大多預設不允許非對稱路由:
https://www.cisco.com/web/services/news/ts_newsletter/tech/chalktalk/archives/200903.html

請教大大:
文中提到 Router 的 ICMP Redirect 功能，是否是對應上圖3號封包的動作?
B發出 ping 封包，指定目的IP為A(192.168.26.129)，
但是目的 MAC卻是閘道器MAC，這顯示B希望閘道器把封包轉給A

另外: 1號封包 中 B 應該 跟閘道器不同網段，正常閘道器是否應該收不到 B 的廣播?

難道只是因為 B 的閘道器設為 Router 的IP ?

是的, 對一半. 那個圖畫的單純就是 Router 功能(這個對), 但他還沒有用到 ICMP Redirect. 每一個 Router 收到這樣的封包都會幫她轉送.

Gateway=Router=Gateway=Router...(這兩個名詞通常指同一件事情)

另外: 1號封包 中 B 應該 跟閘道器不同網段，正常閘道器是否應該收不到 B 的廣播?

上面這個推論不正確, 你再一次犯了前面講的錯誤:
試圖以一個系統性統一的 Netmask 去解算所有 Node 的網段異同.

網段的解算判定, 只有在封包要發送的時候才會做; 當 Node 接收封包的時候, 不會做這些解算判定的動作, 也就是: 接收端是不管 Netmask 的, 有封包進來他就會收.

然後永遠要記得:
每個 Node 的網段都是自己計算的, 跟別人無關.

所以別人把 Netmask 設成 255.255.255.224,跟我的 Netmask 設成: 255.255.255.0, 這件事, 跟我要不要接收封包有沒有關係? 完全無關. 只要他能透過任何辦法, 把封包送到我的網卡, 我就會收, 因為我是接收端, 不會去計算網段.

前提是: 他要有辦法把封包送到我手上. (發送端才需要計算有沒有同網段?)
(以上所談的接收端, 都是指 Layer 3 以下的 IP 封包或信號; Layer 4 以上要另外考慮其他 Protocol 的規範)

加考一題觀念:
同樣用你的圖, 如果多加一台 .4, 且 .4 的 Netmask 也設定成 2552.555.224, 然後從 .3 去 ping .4 (同網段, 封包不會走 Gateway), 請問: 此時在 .129 開啟 Wireshark, 能不能聽到 .3 和 .4 之間傳送的 ICMP 封包?

收到~謝謝
另外我沒注意到其實 A (192.168.26.3) 跟 閘道器(Router) (192.168.26.2) 其實是同一個網段，所以pin 的到，當我把閘道器(Router)的IP改為 (192.168.26.200)時， A 其實就 Ping 不到了(不同網段)。
這樣的狀況有意思，此題目 閘道器(Router) 跟 A 及 B 都是同網段，但是 A 與 B 卻互相不是同網段!

我將原始完整題目放在以下網址
https://jasonlinlinlin.blogspot.com/2023/09/blog-post.html
題目看起來感覺不像是 Router?

不用 router 也能通啦

我將原始完整題目放在以下網址
https://jasonlinlinlin.blogspot.com/2023/09/blog-post.html
題目看起來感覺不像是有 Router?

Gateway一般是指2個網段連接的機器，L3以上都可以，應該是不用特別做敘述。