acl连通性问题

您的目的是限制教室不能访问办公室，但是办公室可以访问教室。您的配置有以下几个问题：

1. 您在vlanif 10端口上应用了acl advanced 3000 inbound，这样会拒绝教室的数据包进入交换机，达到了限制教室访问办公室的目的，但是也会拒绝办公室的回应数据包进入交换机，导致办公室也无法访问教室。您应该在vlanif 10端口上应用acl advanced 3000 outbound，这样只会拒绝教室的数据包出去交换机，而不会影响办公室的数据包进入交换机。
2. 您在vlanif 10端口上又应用了acl advanced 3001 outbound，这样会允许办公室的数据包出去交换机，但是也会允许教室的数据包进入交换机，导致教室可以访问办公室。您应该删除这条配置，因为它和您的目的相矛盾。
3. 您在vlanif 20端口上应用了acl advanced 3001 outbound，这样没有任何作用，因为这条acl只匹配源地址是192.168.20.0/24的数据包，而vlanif 20端口上不会有这样的数据包。您应该删除这条配置，因为它是多余的。

综上，您的配置应该修改为：


acl advanced 3000 rule 1 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
interface vlanif 10
packet-filter 3000 outbound


这样，您就可以实现您的目的，即限制教室不能访问办公室，但是办公室可以访问教室。