思科实验，标准访问控制列表语句使用问题

ip access-list standard 5ijsj
permit 192.168.2.0 0.0.0.255
(允许92.168.2.0网段通过+掩码反码)
deny 192.168.1.0 0.0.0.255
(阻止192.168.1.0网段通过+掩码反码)
3、将设置应用到se 2/0端口
int se 2/0
ip access-group 5ijsj out（此最后一句）

这是老师给的一个例子，拓扑图中有三个网段，两个路由器。
是否可以将最后一句的“out”的改成in，再将应用的端口改变（将se 2/0改成fa 0/0等），从而实现网络中任意网段之间的主机相互访问的控制（即谁可以访问谁，谁不可以访问谁，都可以实现）
我改了一下，又搞不定了，现在脑子很乱了，原本的想法实现不了了，假设有如下一个拓扑图（IP前均省略了192.168. 现在的4台PC两两已经正常通讯），要求PC3.2（ip是192.168.3.2，其他同理）不能访问PC2.2，而PC2.2可以访问PC3.2，该怎么配置ACL？

访问控制列表这个问题是这样的,其实你说的是可以的,方法也对.

但是ACL要尽量用out不要用in,只有在控制vty链路访问的时候才用in.当然这也不是绝对的.

因为用out的时候是比较容易思考的,因为一些数据包要出去,这些数据包的源IP地址,目的IP地址都是多少,你可以确定,这个时候再去应用ACL就比较简单.如果用in的话,in不好的话容易把很用有用的流量给拒绝掉.

综上,尽量用out做.

你好！ 可以在in方向，acl用于in和out需要视情况而定，比如标准访问列表，是用于控制源的，所以应用的地方越靠近源越好，可以节省资源，当然这只是一种因素，具体要视情况而定。 如有疑问，请追问。