in和out是相对的，比如：

　　A（s0）——（s0）B（s1）——（s1）C

　　假设你现在想拒绝A访问C，并且假设要求你是在B上面做ACL（当然C上也可以），我们把这个拓扑换成一个例子：

　　B的s0口是前门，s1口是后门，整个B是你家客厅，前门外连的是A，客厅后门连接的是你家金库（C）

　　现在要拒绝小偷从A进来，那么你在你家客厅做个设置，就有2种办法：

　　1.在你家客厅（B）前门（B的s0）安个铁门（ACL），不让小偷进来（in），这样可以达到目的

　　2.在你家客厅后门安个铁门（B的s1），小偷虽然进到你家客厅，但是仍然不能从后门出去（out）到达你家金库（C）

　　虽然这2种办法（in/out）都可以达到功效，但是从性能角度上来说还是有区别的，实际上最好的办法，就是选办法1，就像虽然小偷没进到金 库，至少进到你家客厅（B），把你客厅的地毯给搞脏了（B要消耗些额外的不必要的处理）

 

自：bbs.net130.com