原因：在VTY下的访问控制列表不需要写扩展ACL限制源目，因为在VTY是一个虚拟接口，不管是否是telnet 路由器的loopback接口，还是真实的物理接口，最终流量都会流经VTY接口。
 
而路由器身上的所有IP在一般情况下都是可以被telnet的，所以限制源目IP就会产生一种矛盾。
如果非要使用扩展ACL进行配置，那么配置只能如下：
 
ip access-list extended telnetR2
10 permit tcp host 10.10.20.254 any eq telnet
line vty 0 4
access-class telnetR2 in