理解：
关于ACL中的IN和OUT，我的理解是进来和出去的流量。
问题：
如果按这种理解，A(S0)-----(S0)B(S1)-----(SO)C,如果我想只让A访问C，但C不能访问A。又结合ACL放置原则，标准访问控制列表尽量靠近目标地址的原则。将同一访问列表分别应用在B的两个端口之上的不同方向，S0用IN方向，S1用OUT方向。这样是可以实现我的要求的。可是实际应用中，是不能通信的。
原因：
因为这忽略了一个问题：网络通信是双向的，即请求和回复。这个时候A已经是可以访问C的，但C回复的包却被B过滤掉了。所以通信失败。
因为这个问题郁闷了很久，回头想想原因还是基础不够扎实。赶快恶补呀！！！