AC的protal认证问题

环境：
外层是两个AD做的是主备。 里面接入了连个AC.
AD1做主时流量走AC1,AD2做主时流量走AC2.
AC1 10.255.255.12  AC2 10.255.255.22
目前使用的是portal认证页面，代理地址设置的是1.1.1.2。两个AC都设置的这个地址
问题：
在AD1上工作都正常，在AD2上有问题
1  某个账号绑定到期时，且账户属于注销状态，访问外网不跳出portal页面，访问https://www.sina.com.cn 会重定向到这个网址。http://10.255.255.22/ac_portal/proxy.html?template=default&tabs=pwd&vlanid=0&url=http://www.sina.com.cn%2f      并且网页提示10.255.255.22 的响应时间过长。但是手工录入认证页面1.1.1.2能正常访问并且可以认证登录成功，成功后上网也正常
2   内网有一台服务器，访问AC的snmp提示认证包丢失。但是在AD1的状态下就没有问题。

Portal 认证异常

AD1 主时 → 一切正常。

AD2 主时 → 触发 Portal 跳转时，浏览器被重定向到 AC2 实际 IP (10.255.255.22)，而不是 Portal 代理地址 (1.1.1.2)。

直接输入 1.1.1.2 访问 Portal 能正常认证。

说明：AC2 的 Portal 配置里存在“回源地址/虚 IP 映射”问题，导致 AD2 主用时，Portal 页面没有统一映射到 1.1.1.2。


SNMP 包丢失

内网服务器访问 AC 的 SNMP，在 AD2 主时丢包。

在 AD1 主时一切正常。

说明：AD2 主时，流量走 AC2，但 AC2 的 SNMP ACL 或管理平面路由配置可能和 AC1 不一致，导致丢弃。

虚拟IP与设备IP冲突：
AC1和AC2均使用虚拟IP 1.1.1.2作为Portal代理地址，但AD2主备切换后，流量经AC2（10.255.255.22）处理时，可能未正确关联虚拟IP的回包路径，导致重定向失败。

AD2主备切换后，AC2可能未正确加载认证策略，或策略中存在冲突（如免认证IP段覆盖了故障账号）。

登录AC2管理界面，检查用户认证与管理→认证策略，确认策略范围包含故障账号所属网段，且未设置免认证规则。
对比AC1和AC2的认证策略配置，确保一致。

另外考虑一下，有没有以下情况：
AC2的防火墙规则可能阻止了重定向所需的80/443端口流量。