如果是路由器的话,一般都有两个接口,一个接内,一个接外。
       做 ACL 的时候,我们就可以分辨出 in 或者out 。
       那么,交换机的 ACL 呢? 
       交换机怎么分辨 in 或者 out ?
       我原想做一个ACL,只允许其他人访问某台主机的FTP 服务。
       根据路由器的一些资料,做了一个ACL:
       permit tcp any host 192.168.1.1 eq 20 
       permit tcp any host 192.168.1.1 eq 21 
       deny tcp any any
     (这里想问一个问题,如果改为deny ip any any,与deny tcp any any 有什么不同??) 
       我是想,允许源地址为任意,目的地址为192.168.1.1端口为21的访问。
       这个ACL 做在交换机某端口 in 的方向。 
       但是这样不行!什么都访问不了!
       我也不知道为什么了。 
       我开始想,是方向不对?
       查了些资料,发现交换机只有in 的方向,没有out 的选项!
      (其他交换机,不知道是不是也这样) 
       而且,一直我也搞不清楚,交换机怎么区分in ,out。
       所以,我就上来问。 
       然后,有人告诉我,FTP访问是双向的,你的是只允许了一个方向。 
       我就认真看了看FTP 传输的一些资料。
       我就又做了一个ACL,
       permit tcp any host 192.168.1.1 eq 20
       permit tcp any host 192.168.1.1 eq 21 
       permit tcp host 192.168.1.1 eq 20 any
       permit tcp host 192.168.1.1 eq 21 any
       deny tcp any any
       这样,就可以了。访问正常。 
       我以为事情就这样了。
       但是,一位工程师看了,说,你的ACL 有些是多余的!!
       他说只要这样的,就行了。 
       permit tcp host 192.168.1.1 eq 20 any
       permit tcp host 192.168.1.1 eq 21 any
       deny ip any any
       因为,你是做在 in的方向。 
       ——就是你的电脑,指向交换机的方向!!
       ——对于别人访问你的电脑的那个方向,这里的ACL没有这种功能。
       很烦,搞了那么久,才知道是怎么回事。