acl的in和out

in和out是相对的,比如:/w;q#X*Q7?&k#p1~![
A(s0)-----(s0)B(s1)--------(s1)C
1W%Q1|.m!M(Owww.spoto.netIT雏鹰部落!b!u6_2H+G6v*]
假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:1L f&`*X1c1@(\
B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)
,k.C#r,Q4]9B,m$AIT雏鹰部落现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:
6i'b#{!K6x6[%S&o%g1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的IT雏鹰部落-c+}#X,c;Z7p5r/S
2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)www.spoto.net(I!B2`#O:s:]2h

4m6},c$e9^'\1~5U4i3^'k虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)*w2i+b+] B:t0x*q&z/H

)I$Z7A4Q5L;q7D假设你要把铁门(ACL)安在C,那时候应该用in还是out呢?7I/g,O0x5W$`!S"n
这个问题留给你自己回答了,呵呵

相对于路由器的，穿过路由器的是out 即将进入的是in+D#c*Q$Z*c/i2^$T
扩展acl,要靠近源 ，标准acl靠近目标地址
实际上in和out的应用是很灵活的