Sua lista de acesso está especificando 11.0.0.3
como a origem e 10.0.0.2
como o destino - outros ingressos de tráfego na interface f0/1
não serão permitidos (e acho um pouco estranho que eles estejam enviando Inacessíveis ICMP em vez de apenas deixar cair o pacote, mas aí está).
Se você quiser permitir pings para os IPs do roteador, você também precisará colocá-los na ACL:
ip access-list extended NSL1
permit ip host 11.0.0.3 host 10.0.0.2
! let it communicate with the other interface's routed IP:
permit ip host 11.0.0.3 host 10.0.0.1
! let's just allow it to hit anything else in its subnet; might as well, right?
permit ip host 11.0.0.3 11.0.0.0 0.255.255.255
Observe que apenas 11.0.0.3
poderá fazer ping agora com essa ACL; você precisaria permitir 11.0.0.2
explicitamente também.