ISE 2.6做有线802.1x MAB认证，下发的DACL里有82条ACE。认证成功，show authen session g1/0/47 details看到了下发的DACL，但是show access-list里DACL的ACE是空的，交换机没应用上。是什么原因。同时radius报文里第24号属性值state的作用是什么，交换机是怎么对这字段做处理的？认证报文抓包见附件。

终端接入交换机做WebAuth认证，页面被重定向到登录页面，但是终端访问不了应用在接口下ACL的指定内容。用show authentication sessions interface gigabitEthernet 1/0/47 details命令发现，WebAuth认证正在进行时，终端被Server Policies里的策略给限制了，没有用我想要的Local Policies。CiscoWS-C3650-48TS#show authen sess int g1/0/47 details ...

交换机固件版本：BOOTLDR: C3560 Boot Loader (C3560-HBOOT-M) Version 12.2(35r)SE2, RELEASE SOFTWARE (fc1)用3560做802.1x时，下发的DACL里如果有多条ACE，结果第一条ACE没用应用上交换机，其他的ACE都应用上了。看交换机debug日志，交换机已经收到了ACL里的所有ACE，但就是不处理第一条ACE。这是为什么？因为是和第三方厂商做对接的，DACL也是通过第三方Radius下发。感觉可能是radius...