目  录

1 HTTP proxy

1.1 HTTP proxy简介

1.1.1 HTTP proxy的工作原理

1.1.2 非本网站链接代理

1.1.3 HTTP proxy支持Web访问负载分担

1.2 HTTP proxy的License要求

1.3 HTTP proxy配置限制和指导

1.4 HTTP proxy配置任务简介

1.5 配置Web服务器组

1.6 配置HTTP proxy服务

1.7 配置非本网站媒体资源代理功能

1.8 配置非本网站超级链接代理功能

1.9 开启HTTP proxy功能

1.10 配置代理信息记录功能

1.11 HTTP proxy显示和维护

1.12 HTTP proxy典型配置举例（独立运行模式）

1.12.1 HTTP proxy服务代理HTTP协议配置举例

1.12.2 HTTP proxy服务代理HTTPS协议配置举例

1.13 HTTP proxy典型配置举例（IRF模式）

1.13.1 HTTP proxy服务代理HTTP协议配置举例

1.13.2 HTTP proxy服务代理HTTPS协议配置举例

1.14 HTTP proxy常见故障处理

1.14.1 HTTP proxy功能启动失败

在IPv4网络向IPv6网络过渡的过程中，IPv6用户无法访问仍使用IPv4协议栈的Web服务器。HTTP proxy（HTTP代理）功能通过代理IPv6用户的HTTP/HTTPS请求报文，实现IPv6用户访问IPv4网络Web服务器的目的。

HTTP proxy功能具有以下优点：

·     降低了IPv6网络化的难度，可避免对现有IPv4业务造成影响，实现了向纯IPv6网络的平滑过渡。

·     解决了跨协议栈无法访问Web页面的问题，具有良好的兼容性，提高了网络的可扩展性。

·     支持负载分担功能，提升了网络的运行效率和稳定性，增强了用户体验。

HTTP proxy的工作原理如图1-1所示：

图1-1 HTTP proxy工作原理示意图

(1)     IPv6网络用户主机（IPv6 Host）通过DNS服务器，获取到需访问域名对应的IPV6地址为设备（Device）配置HTTP proxy的IPv6地址。并发送IPv6的HTTP/HTTPS请求报文到达设备。

(2)     设备收到IPv6的HTTP/HTTPS请求报文后，检测报文的URL中是否携带HTTP proxy服务的域名信息。若URL中携带HTTP proxy服务的域名信息，剥离报文的URL中添加的域名信息，将报文的URL还原为原始的URL。

(3)     设备重新封装HTTP/HTTPS请求报文发送给Web服务器（IPv4 Server）。若访问外部Web服务器时，需通过配置DNS服务器解析出URL对应的IPv4地址。

(4)     Web服务器将HTTP/HTTPS应答报文发送到设备。设备收到HTTP/HTTPS应答报文后，检测访问的资源内容是否为非本网站的媒体资源（图片、视频等）或非本网站的超级链接，若是则对HTTP/HTTPS应答报文的URL添加HTTP proxy服务的域名信息。保证用户再次访问时，可以将HTTP/HTTPS请求报文发送给设备。

(5)     设备将HTTP/HTTPS应答报文重新封装后发送给主机。

当IPv6网络用户访问的IPv4服务器Web页面上存在非本网站的媒体资源（图片、视频等）或非本网站的超级链接时，会出现Web页面无法访问的问题。

图1-2 非本网站链接代理工作原理示意图

(1)     设备收到IPv4网络的Web服务器返回的HTTP/HTTPS应答报文后，为这类外部链接添加已配置的域名信息。

(2)     IPv6网络用户再次访问时，DNS服务器解析出添加的域名信息对应的IPv6地址为HTTP proxy的IPv6地址。用户发送访问外部链接的HTTP/HTTPS请求报文到达设备。

(3)     设备收到IPv6网络用户访问外部链接的HTTP/HTTPS请求报文，剥离报文的URL中添加的域名信息。

(4)     设备通过配置的DNS服务器解析出HTTP/HTTPS请求报文的IPv4地址。

(5)     设备根据解析出的IPv4地址，将HTTP/HTTPS请求报文重新封装后，发送给需要访问的外部的Web服务器。

(6)     外部的Web服务器将HTTP/HTTPS应答报文发送给设备。

(7)     设备将HTTP/HTTPS响应报文重新封装后发送给主机。

在IPv4网络中，可能同时存在多台Web服务器可以提供相同的服务，HTTP proxy将提供相同服务的多台Web服务器添加到同一个Web服务器组。设备收到的HTTP/HTTPS请求报文后，根据一定的算法将流量分配到不同的Web服务器上进行流量的负载分担。HTTP proxy的负载分担功能可以增加网络带宽、提高网络的可用性和灵活性。

HTTP proxy需要安装License才能使用。未安装License时，重启设备会自动删除HTTP proxy的相关配置。有关License的详细介绍，请参见“基础配置指导”中的“License管理”。

在使用HTTP proxy服务提供代理功能时，请确保HTTP proxy服务的上下行流量属于同一个slot（即设备与IPv6用户通信的接口和设备与Web服务器通信的接口属于同一个slot），否则HTTP proxy服务无法代理所需的Web资源。

设备需要通过DNS服务器解析域名时，必须执行dns proxy enable命令来开启DNS proxy功能，否则无法通过DNS服务器解析出需要HTTP proxy服务代理的域名对应的IP地址。有关dns proxy enable命令的详细介绍，请参见“三层技术-IP业务命令参考”中的“域名解析”。

HTTP proxy的配置任务如下：

(1)     配置Web服务器组

(2)     配置HTTP proxy服务

(3)     （可选）配置非本网站媒体资源代理功能

(4)     （可选）配置非本网站超级链接代理功能

(5)     开启HTTP proxy功能

(6)     配置代理信息记录功能

用户需要代理访问的IPv4 Web服务器的信息在Web服务器组中进行配置。HTTP proxy服务支持代理HTTP和HTTPS两种协议类型，每种协议类型对应一个Web服务器组。Web服务器组需要配置服务协议类型和Web服务器的IP地址和端口号，同一个Web服务器组可以指定多个Web服务器的IP地址和端口号来实现负载分担功能。

Web服务器组参数需要在HTTP proxy服务关联该Web服务器组之前进行配置，若已被关联，必须先解除关联再配置。

Web服务器组内所有Web服务器的服务协议类型必须与本组的协议类型一致。

(1)     进入系统视图。

system-view

(2)     创建Web服务器组，并进入Web服务器组视图。

http-proxy server-group group-name

(3)     配置Web服务器的IP地址和端口号。

ip-address ip-address [ port port-number ]

缺省情况下，未配置Web服务器的IP地址和端口号。

(4)     配置Web服务器组的服务协议类型。

protocol-type { http | https }

缺省情况下，未配置Web服务器组的服务协议类型。

HTTP proxy服务通过指定服务监听的TCP端口号和IPv6地址，代理来自该IPv6地址和TCP端口的HTTP/HTTPS请求。如果HTTP proxy服务需要对用户的HTTPS请求进行代理，则还需要提供SSL证书文件和SSL证书密钥文件来与IPv6客户端建立安全的连接。

配置本功能前，请使用display tcp 命令来查看设备正在使用的TCP端口号，以免HTTP/HTTPS协议的端口号被其他特性占用。

HTTP proxy服务代理的协议类型为HTTPS时，请首先通过FTP或TFTP协议将SSL证书文件和SSL证书密钥文件上传到设备，有关FTP和TFTP的详细介绍，请参见“基础配置指导”中的“FTP和TFTP”

HTTP proxy的服务协议类型与Web服务器组的协议类型可以不同。

修改HTTP proxy服务的参数前，需要先关闭HTTP proxy功能，完成修改后再次开启。

(1)     进入系统视图。

system-view

(2)     创建HTTP proxy服务，并进入HTTP proxy服务视图。

（独立运行模式）

http-proxy service service-name

（IRF模式）

http-proxy service service-name slot slot-number

(3)     配置HTTP proxy服务代理的协议类型和侦听的端口号，以及关联的Web服务器组。

protocol-type { http | https } [ port port-number ] [ server-group group-name ]

缺省情况下，未配置HTTP proxy服务的代理协议类型、侦听的端口号以及关联的Web服务器组。

(4)     配置HTTP proxy服务的IPv6地址。

ipv6-address ipv6-address

缺省情况下，未配置HTTP proxy服务的IPv6地址。

(5)     配置SSL证书文件。

ssl certificate file certificate-file

缺省情况下，未配置SSL证书文件。

(6)     配置SSL证书密钥文件。

ssl certificate key-file key-file

缺省情况下，未配置SSL证书密钥文件。

开启非本网站媒体资源代理功能后，HTTP proxy可以对Web服务器上Web页面中的非本网站媒体资源（图片、视频等）进行代理，使得IPv6主机可以正确获取到Web页面中的这类媒体资源。

配置非本网站媒体资源代理功能前，需要先关闭HTTP proxy功能，完成修改后再次开启。

(1)     进入系统视图。

system-view

(2)     进入HTTP proxy服务视图。

（独立运行模式）

http-proxy service service-name

（IRF模式）

http-proxy service service-name slot slot-number

(3)     配置HTTP proxy服务的域名信息。

domain-name domain-name

缺省情况下，未配置HTTP proxy服务的域名信息。

(4)     配置DNS服务器的IPv4地址。

dns-server ip-address

缺省情况下，未配置DNS服务器的IPv4地址。

(5)     开启HTTP proxy服务的非本网站媒体资源代理功能。

medialink-proxy enable

缺省情况下，HTTP proxy服务的非本网站媒体资源代理功能处于关闭状态。

开启非本网站超级链接代理功能后，设备可以为携带有HTTP proxy服务代理的非本网站超级链接的报文添加HTTP proxy服务的域名信息。实现对Web服务器上的Web页面中的非本网站超级链接进行代理，使得主机可以访问非本网站的资源。

配置非本网站超级链接代理功能前，需要先关闭HTTP proxy功能，完成修改后再次开启。

(1)     进入系统视图。

system-view

(2)     进入HTTP proxy服务视图。

（独立运行模式）

http-proxy service service-name

（IRF模式）

http-proxy service service-name slot slot-number

(3)     配置HTTP proxy服务的域名信息。

domain-name domain-name

缺省情况下，未配置HTTP proxy服务的域名信息。

(4)     配置DNS服务器的IPv4地址。

dns-server ip-address

缺省情况下，未配置DNS服务器的IPv4地址。

(5)     配置需要HTTP proxy服务代理的非本网站超级链接。

hyperlink-proxy link-string

缺省情况下，未配置需要HTTP proxy服务代理的非本网站超级链接。

(1)     进入系统视图。

system-view

(2)     进入HTTP proxy服务视图。

（独立运行模式）

http-proxy service service-name

（IRF模式）

http-proxy service service-name slot slot-number

(3)     开启HTTP proxy服务。

service enable

缺省情况下，HTTP proxy服务处于关闭状态。

通过配置本功能，HTTP proxy服务的代理信息会按照时间顺序记录在指定路径的文件中。可以通过more命令来显示文本文件的内容，有关more的详细介绍，请参见“基础配置命令参考”中“文件系统管理”。

(1)     进入系统视图。

system-view

(2)     创建HTTP proxy服务，并进入HTTP proxy服务视图。

（独立运行模式）

http-proxy service service-name

（IRF模式）

http-proxy service service-name slot slot-number

(3)     开启代理信息记录功能，并指定记录文件路径。

access-record enable file-path path

HTTP proxy服务的代理信息记录功能处于关闭状态，且未配置记录文件路径。

完成上述配置后，在任意视图下执行display命令可以显示配置后HTTP proxy的运行情况，通过查看显示信息验证配置的效果。

表1-1 HTTP proxy显示和维护

操作

命令

显示HTTP proxy的配置信息

display http-proxy { server-group [ group-name ] | service [ service-name ] }

如图1-3所示，设备对IPv6主机提供HTTP代理服务，代理IPv6主机对IPv4 Web服务器Server A和Server B的访问。同时，通过文件记录HTTP proxy服务的代理信息。

·     HTTP proxy服务的域名为test.gov.cn，HTTP proxy服务的IPv6地址为2001::1/64。

·     用户访问的Web页面上存在非本网站超级链接www.hyperlink.org，以及非本网站媒体资源。

·     域名服务器DNS server的IP地址为8.8.8.8。

图1-3 配置HTTP proxy服务代理HTTP协议组网图

请按照图1-3配置各接口的IP地址和子网掩码，具体配置过程略。

请确保HTTP proxy服务的域名test.gov.cn可以被解析为IPv6地址2001::1/64。

(1)     配置HTTP proxy的Web服务器组。

# 创建名称为httpback的Web服务器组，并进入Web服务器组视图。

system-view

[Device] http-proxy server-group httpback

# 配置Web服务器组中Web服务器的IP地址为192.168.1.1和192.168.1.2，端口号为80。

[Device-http-proxy-server-group-httpback] ip-address 192.168.1.1 port 80

[Device-http-proxy-server-group-httpback] ip-address 192.168.1.2 port 80

# 配置Web服务器组使用HTTP协议作为服务协议类型。

[Device-http-proxy-server-group-httpback] protocol-type http

[Device-http-proxy-server-group-httpback] quit

(2)     开启设备的DNS proxy功能。

[Device] dns proxy enable

(3)     配置HTTP proxy参数。

# 创建HTTP proxy服务proxyservice，并进入该HTTP proxy服务视图。

[Device] http-proxy service proxyservice

# 配置HTTP proxy服务使用HTTP协议作为服务类型，并关联Web服务器组httpback。

[Device-http-proxy-proxyservice] protocol-type http server-group httpback

# 配置DNS服务器的IPv4地址为8.8.8.8。

[Device-http-proxy-proxyservice] dns-server 8.8.8.8

# 配置HTTP proxy服务的域名为test.gov.cn。

[Device-http-proxy-proxyservice] domain-name test.gov.cn

# 配置HTTP proxy服务的IPv6地址为2001::1。

[Device-http-proxy-proxyservice] ipv6-address 2001::1

# 开启HTTP proxy服务的非本网站媒体资源代理功能。

[Device-http-proxy-proxyservice] medialink-proxy enable

# 配置需要HTTP proxy服务代理的非本网站超级链接为www.hyperlink.org。

[Device-http-proxy-proxyservice] hyperlink-proxy www.hyperlink.org

# 配置连接Web服务器使用的源IP地址池，IP地址范围为192.168.1.10到192.168.1.20。

[Device-http-proxy-proxyservice] ip-pool 192.168.1.10 192.168.1.20

# 开启HTTP proxy服务的代理信息记录功能。

[Device-http-proxy-proxyservice] access-record enable file-path flash:/httpproxy/20191010.log

(4)     开启HTTP proxy功能。

[Device-http-proxy-proxyservice] service enable

[Device-http-proxy-proxyservice] quit

[Device] quit

# 查看HTTP proxy服务的服务器组配置信息。

display http-proxy server-group

Server group name: httpback

  Protocol type:                  http

  Server IP addresses:  192.168.1.1:80

                        192.168.1.2:80

以上信息表明Web服务器组中httpback已正确配置了服务类型和Web服务器的IPv4地址和端口。

# 显示HTTP proxy服务的服务配置信息。

display http-proxy service proxyservice

Service name: proxyservice

  IPv6 address:                    2001::1

  Domain name:                     test.gov.cn

  Protocol types:                  HTTP  [Server group: httpback]

  SSL certificate file:            N/A

  SSL certificate key-file:        N/A

  Hyperlink proxy strings:         www.hyperlink.org

  DNS server:                      8.8.8.8

  IP pools:                        192.168.1.10 to 192.168.1.20

  Medialink proxy:                 Enabled

  HTTP proxy operation recording:  Enabled

    Operation record file path:    flash:/httpproxy/20191010.log

  HTTP proxy status:               Enabled

以上显示信息表示HTTP proxy服务的参数已经正确配置，并且服务处于开启状态。

# 主机访问代理网站后，在设备上代理信息日志文件中查看HTTP proxy服务的代理信息。

more flash:/httpproxy/20191010.log

[03/Dec/2019:16:11:35 +0800]  Client=2001::4  URL=http://test.gov.cn/desert.jpg  Server=192.168.1.1:80

[03/Dec/2019:16:11:35 +0800]  Client=2001::4  URL=http://test.gov.cn/config.js  Server=192.168.1.1:80

[03/Dec/2019:16:11:36 +0800]  Client=2001::4  URL=http://test.gov.cn/config.js  Server=192.168.1.2:80

[03/Dec/2019:16:11:36 +0800]  Client=2001::4  URL=http://test.gov.cn/desert.jpg  Server=192.168.1.2:80

主机能够正常访问代理网站，且服务代理信息记录正确，说明HTTP proxy服务生效。对相同URL的访问请求，被分配到不同的服务器上去处理，说明服务器组的成员之间进行了负载分担。

如图1-4所示，设备对IPv6主机提供HTTPS代理服务，代理IPv6主机对IPv4 Web服务器Server A和Server B的访问。同时，通过文件记录HTTP proxy服务的代理信息。

·     HTTP proxy服务的域名为test.gov.cn，HTTP proxy服务的IPv6地址为2001::1/64。

·     用户访问的Web页面上存在非本网站超级链接www.hyperlink.org，以及非本网站媒体资源。

·     域名服务器DNS server的IP地址为8.8.8.8。

图1-4 配置HTTP proxy服务代理HTTPS协议组网图

请按照图1-4配置各接口的IP地址和子网掩码，具体配置过程略。

请确保HTTP proxy服务的域名test.gov.cn可以被解析为IPv6地址2001::1/64。

(1)     通过FTP或TFTP将httpproxy.key和httpproxy.pem文件加载到SSL证书文件路径和SSL证书文件路径。有关FTP和TFTP的详细介绍，请参见“基础配置指导”中的“FTP和TFTP”。

tftp 2001::1 get httpproxy.key flash:/cert.key

Press CTRL+C to abort.

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed

100     8  100     8    0     0    330      0 --:--:-- --:--:-- --:--:--   571

Writing file...Done.

tftp 2001::1 get httpproxy.pem flash:/cert.pem

Press CTRL+C to abort.

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed

100     8  100     8    0     0    330      0 --:--:-- --:--:-- --:--:--   571

Writing file...Done.

(2)     创建并配置HTTP proxy的Web服务器组。

# 创建名称为httpsback的Web服务器组，并进入Web服务器组视图。

system-view

[Device] http-proxy server-group httpsback

# 配置Web服务器组中Web服务器的IP地址为192.168.1.1和192.168.1.2，端口号为443。

[Device-http-proxy-server-group-httpsback] ip-address 192.168.1.1 port 443

[Device-http-proxy-server-group-httpsback] ip-address 192.168.1.2 port 443

# 配置Web服务器组使用HTTPS协议作为服务协议类型。

[Device-http-proxy-server-group-httpsback] protocol-type https

[Device-http-proxy-server-group-httpsback] quit

(3)     开启设备的DNS proxy功能。

[Device] dns proxy enable

(4)     配置HTTP proxy参数

# 创建HTTP proxy服务proxyservice，并进入该HTTP proxy服务视图

[Device] http-proxy service proxyservice

# 配置HTTP proxy服务使用HTTPS协议作为服务类型并关联Web服务器组httpsback。

[Device-http-proxy-proxyservice] protocol-type https server-group httpsback

# 配置SSL证书文件flash:/cert.pem。

[Device-http-proxy-proxyservice] ssl certificate file flash:/cert.pem

# 配置SSL密钥文件flash:/cert.key。

[Device-http-proxy-proxyservice] ssl certificate key-file flash:/cert.key

# 配置DNS服务器的IPv4地址为8.8.8.8。

[Device-http-proxy-proxyservice] dns-server 8.8.8.8

# 配置HTTP proxy服务的域名为test.gov.cn。

[Device-http-proxy-proxyservice] domain-name test.gov.cn

# 配置HTTP proxy服务的IPv6地址为2001::1。

[Device-http-proxy-proxyservice] ipv6-address 2001::1

# 开启HTTP proxy服务的非本网站媒体资源代理功能。

[Device-http-proxy-proxyservice] medialink-proxy enable

# 配置需要HTTP proxy服务代理的非本网站超级链接为www.hyperlink.org。

[Device-http-proxy-proxyservice] hyperlink-proxy www.hyperlink.org

# 配置连接Web服务器使用的源IP地址池，IP地址范围为192.168.1.10到192.168.1.20。

[Device-http-proxy-proxyservice] ip-pool 192.168.1.10 192.168.1.20

# 开启HTTP proxy服务的代理信息记录功能。

[Device-http-proxy-proxyservice] access-record enable file-path flash:/httpproxy/20191010.log

(5)     开启HTTP proxy功能。

[Device-http-proxy-proxyservice] service enable

[Device-http-proxy-proxyservice] quit

[Device] quit

# 查看HTTP proxy服务的服务器组配置信息。

display http-proxy server-group

Server group name: httpsback

  Protocol type:                  https

  Server IP addresses:  192.168.1.1:443

                        192.168.1.2:443

以上信息表明Web服务器组httpsback已正确配置了服务类型和Web服务器的IPv4地址和端口。

# 显示HTTP proxy服务的服务配置信息。

display http-proxy service proxyservice

Service name: proxyservice

  IPv6 address:                    2001::1

  Domain name:                     test.gov.cn

  Protocol types:                  HTTPS  [Server group: httpsback]

  SSL certificate file:            flash:/cert.pem

  SSL certificate key-file:        flash:/cert.key

  Hyperlink proxy strings:         www.hyperlink.org

  DNS server:                      8.8.8.8

  IP pools:                        192.168.1.10 to 192.168.1.20

  Medialink proxy:                 Enabled

  HTTP proxy operation recording:  Enabled

    Operation record file path:    flash:/httpproxy/20191010.log

  HTTP proxy status:               Enabled

以上显示信息表示HTTP proxy服务的参数已经正确配置，并且服务处于开启状态。

# 主机访问代理网站后，在设备上代理信息日志文件中查看HTTP proxy服务的代理信息。

more flash:/httpproxy/20191010.log

[03/Dec/2019:16:11:35 +0800]  Client=2001::4  URL=https://test.gov.cn/sert.jpg  Server=192.168.1.1:443

[03/Dec/2019:16:11:35 +0800]  Client=2001::4  URL=https://test.gov.cn/config.js  Server=192.168.1.1:443

[03/Dec/2019:16:11:36 +0800]  Client=2001::4  URL=https://test.gov.cn/config.js  Server=192.168.1.2:443

[03/Dec/2019:16:11:36 +0800]  Client=2001::4  URL=https://test.gov.cn/sert.jpg  Server=192.168.1.2:443

主机能够正常访问代理网站，且服务代理信息记录正确，说明HTTP proxy服务生效。对相同URL的访问请求，被分配到不同的服务器上去处理，说明服务器组的成员之间进行了负载分担。

如图1-5所示，设备对IPv6主机提供HTTP代理服务，代理IPv6主机对IPv4 Web服务器Server A和Server B的访问。同时，通过文件记录HTTP proxy服务的代理信息。

·     HTTP proxy服务的域名为test.gov.cn，HTTP proxy服务的IPv6地址为2001::1/64。

·     用户访问的Web页面上存在非本网站超级链接www.hyperlink.org，以及非本网站媒体资源。

·     域名服务器DNS server的IP地址为8.8.8.8。

图1-5 配置HTTP proxy服务代理HTTP协议组网图

请按照图1-5配置各接口的IP地址和子网掩码，具体配置过程略。

请确保HTTP proxy服务的域名test.gov.cn可以被解析为IPv6地址2001::1/64。

(1)     配置HTTP proxy的Web服务器组。

# 创建名称为httpback的Web服务器组，并进入Web服务器组视图。

system-view

[Device] http-proxy server-group httpback

# 配置Web服务器组中Web服务器的IP地址为192.168.1.1和192.168.1.2，端口号为80。

[Device-http-proxy-server-group-httpback] ip-address 192.168.1.1 port 80

[Device-http-proxy-server-group-httpback] ip-address 192.168.1.2 port 80

# 配置Web服务器组使用HTTP协议作为服务协议类型。

[Device-http-proxy-server-group-httpback] protocol-type http

[Device-http-proxy-server-group-httpback] quit

(2)     开启设备的DNS proxy功能。

[Device] dns proxy enable

(3)     配置HTTP proxy参数。

# 创建HTTP proxy服务proxyservice，并进入该HTTP proxy服务视图。

[Device] http-proxy service proxyservice slot 1

# 配置HTTP proxy服务使用HTTP协议作为服务类型，并关联Web服务器组httpback。

[Device-http-proxy-proxyservice-slot1] protocol-type http server-group httpback

# 配置DNS服务器的IPv4地址为8.8.8.8。

[Device-http-proxy-proxyservice-slot1] dns-server 8.8.8.8

# 配置HTTP proxy服务的域名为test.gov.cn。

[Device-http-proxy-proxyservice-slot1] domain-name test.gov.cn

# 配置HTTP proxy服务的IPv6地址为2001::1。

[Device-http-proxy-proxyservice-slot1] ipv6-address 2001::1

# 开启HTTP proxy服务的非本网站媒体资源代理功能。

[Device-http-proxy-proxyservice-slot1] medialink-proxy enable

# 配置需要HTTP proxy服务代理的非本网站超级链接为www.hyperlink.org。

[Device-http-proxy-proxyservice-slot1] hyperlink-proxy www.hyperlink.org

# 配置连接Web服务器使用的源IP地址池，IP地址范围为192.168.1.10到192.168.1.20。

[Device-http-proxy-proxyservice-slot1] ip-pool 192.168.1.10 192.168.1.20

# 开启HTTP proxy服务的代理信息记录功能。

[Device-http-proxy-proxyservice-slot1] access-record enable record-path slot1#flash:/httpproxy/20191010.log

(4)     开启HTTP proxy功能。

[Device-http-proxy-proxyservice-slot1] service enable

[Device-http-proxy-proxyservice-slot1] quit

[Device] quit

# 查看HTTP proxy服务的服务器组配置信息。

display http-proxy server-group

Server group name: httpback

  Protocol type:                  http

  Server IP addresses:  192.168.1.1:80

                        192.168.1.2:80

以上信息表明Web服务器组httpback已正确配置了服务类型和Web服务器的IPv4地址和端口。

# 显示HTTP proxy服务的服务配置信息。

display http-proxy service proxyservice

Service name: proxyservice

  IPv6 address:                    2001::1

  Domain name:                     test.gov.cn

  Protocol types:                  HTTP  [Server group: httpback]

  SSL certificate file:            N/A

  SSL certificate key-file:        N/A

  Hyperlink proxy strings:         www.hyperlink.org

  DNS server:                      8.8.8.8

  IP pools:                        192.168.1.10 to 192.168.1.20

  Medialink proxy:                 Enabled

  HTTP proxy operation recording:  Enabled

    Operation record file path:    slot1#flash:/httpproxy/20191010.log

  HTTP proxy status:               Enabled

以上显示信息表示HTTP proxy服务的参数已经正确配置，并且服务处于开启状态。

# 主机访问代理网站后，在设备上代理信息日志文件中查看HTTP proxy服务的代理信息。

more slot1#flash:/httpproxy/20191010.log

[03/Dec/2019:16:11:35 +0800]  Client=2001::4  URL=http://test.gov.cn/desert.jpg  Server=192.168.1.1:80

[03/Dec/2019:16:11:35 +0800]  Client=2001::4  URL=http://test.gov.cn/config.js  Server=192.168.1.1:80

[03/Dec/2019:16:11:36 +0800]  Client=2001::4  URL=http://test.gov.cn/config.js  Server=192.168.1.2:80

[03/Dec/2019:16:11:36 +0800]  Client=2001::4  URL=http://test.gov.cn/desert.jpg  Server=192.168.1.2:80

主机能够正常访问代理网站，且服务代理信息记录正确，说明HTTP proxy服务生效。对相同URL的访问请求，被分配到不同的服务器上去处理，说明服务器组的成员之间进行了负载分担。

如图1-6所示，设备对IPv6主机提供HTTPS代理服务，代理IPv6主机对IPv4 Web服务器Server A和Server B的访问。同时，通过文件记录HTTP proxy服务的代理信息。

·     HTTP proxy服务的域名为test.gov.cn，HTTP proxy服务的IPv6地址为2001::1/64。

·     用户访问的Web页面上存在非本网站超级链接www.hyperlink.org，以及非本网站媒体资源。

·     域名服务器DNS server的IP地址为8.8.8.8。

图1-6 配置HTTP proxy服务代理HTTPS协议组网图

请按照图1-6置各接口的IP地址和子网掩码，具体配置过程略。

请确保HTTP proxy服务的域名test.gov.cn可以被解析为IPv6地址2001::1/64。

(1)     通过FTP或TFTP将httpproxy.key和httpproxy.pem文件加载到SSL证书文件路径和SSL证书文件路径。有关FTP和TFTP的详细介绍，请参见“基础配置指导”中的“FTP和TFTP”。

tftp 2001::1 get httpproxy.key slot1#flash:/cert.key

Press CTRL+C to abort.

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed

100     8  100     8    0     0    330      0 --:--:-- --:--:-- --:--:--   571

Writing file...Done.

tftp 2001::1 get httpproxy.pem slot1#flash:/cert.pem

Press CTRL+C to abort.

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed

100     8  100     8    0     0    330      0 --:--:-- --:--:-- --:--:--   571

Writing file...Done.

(2)     配置HTTP proxy的Web服务器组。

# 创建名称为httpsback的Web服务器组，并进入该视图。

system-view

[Device] http-proxy server-group httpsback

# 配置Web服务器组中Web服务器的IP地址为192.168.1.1和192.168.1.2，端口号为443。

[Device-http-proxy-server-group-httpsback] ip-address 192.168.1.1 port 443

[Device-http-proxy-server-group-httpsback] ip-address 192.168.1.2 port 443

# 配置Web服务器组使用HTTPS协议作为服务协议类型。

[Device-http-proxy-server-group-httpsback] protocol-type https

[Device-http-proxy-server-group-httpsback] quit

(3)     开启设备的DNS proxy功能。

[Device] dns proxy enable

(4)     配置HTTP proxy参数。

# 创建HTTP proxy服务proxyservice，并进入该HTTP proxy服务视图。

[Device] http-proxy service proxyservice slot 1

# 配置HTTP proxy服务使用HTTPS协议作为服务类型并关联Web服务器组httpsback。

[Device-http-proxy-proxyservice-slot1] protocol-type https server-group httpsback

# 配置SSL证书文件slot1#flash:/cert.pem。

[Device-http-proxy-proxyservice-slot1] ssl certificate file slot1#flash:/cert.pem

# 配置SSL密钥文件slot1#flash:/cert.key。

[Device-http-proxy-proxyservice-slot1] ssl certificate key-file slot1#flash:/cert.key

# 配置DNS服务器的IPv4地址为8.8.8.8。

[Device-http-proxy-proxyservice-slot1] dns-server 8.8.8.8

# 配置HTTP proxy服务的域名为test.gov.cn。

[Device-http-proxy-proxyservice-slot1] domain-name test.gov.cn

# 配置HTTP proxy服务的IPv6地址为2001::1。

[Device-http-proxy-proxyservice-slot1] ipv6-address 2001::1

# 开启HTTP proxy服务的非本网站媒体资源代理功能。

[Device-http-proxy-proxyservice-slot1] medialink-proxy enable

# 配置需要HTTP proxy服务代理的非本网站超级链接为www.hyperlink.org。

[Device-http-proxy-proxyservice-slot1] hyperlink-proxy www.hyperlink.org

# 配置连接Web服务器使用的源IP地址池，IP地址范围为192.168.1.10到192.168.1.20。

[Device-http-proxy-proxyservice-slot1] ip-pool 192.168.1.10 192.168.1.20

# 开启HTTP proxy服务的代理信息记录功能。

[Device-http-proxy-proxyservice-slot1] access-record enable file-path slot1#flash:/httpproxy/20191010.log

(5)     开启HTTP proxy功能。

[Device-http-proxy-proxyservice-slot1] service enable

[Device-http-proxy-proxyservice-slot1] quit

[Device] quit

# 查看HTTP proxy服务的服务器组配置信息。

display http-proxy server-group

Server group name: httpsback

  Protocol type:                  https

  Server IP addresses:  192.168.1.1:443

                        192.168.1.2:443

以上信息表明Web服务器组httpsback已正确配置了服务类型和Web服务器的IPv4地址和端口。

# 显示HTTP proxy服务的服务配置信息。

display http-proxy service proxyservice

Service name: proxyservice

  IPv6 address:                    2001::1

  Domain name:                     test.gov.cn

  Protocol types:                  HTTPS  [Server group: httpsback]

  SSL certificate file:            slot1#flash:/cert.pem

  SSL certificate key-file:        slot1#flash:/cert.key

  Hyperlink proxy strings:         www.hyperlink.org

  DNS server:                      8.8.8.8

  IP pools:                        192.168.1.10 to 192.168.1.20

  Medialink proxy:                 Enabled

  HTTP proxy operation recording:  Enabled

    Operation record file path:    slot1#flash:/httpproxy/20191010.log

  HTTP proxy status:               Enabled

以上显示信息表示HTTP proxy服务的参数已经正确配置，并且服务处于开启状态。

# 主机访问代理网站后，在设备上代理信息日志文件中查看HTTP proxy服务的代理信息。

more slot1#flash:/httpproxy/20191010.log

[03/Dec/2019:16:11:35 +0800]  Client=2001::4  URL=https://test.gov.cn/sert.jpg  Server=192.168.1.1:443

[03/Dec/2019:16:11:35 +0800]  Client=2001::4  URL=https://test.gov.cn/config.js  Server=192.168.1.1:443

[03/Dec/2019:16:11:36 +0800]  Client=2001::4  URL=https://test.gov.cn/config.js  Server=192.168.1.2:443

[03/Dec/2019:16:11:36 +0800]  Client=2001::4  URL=https://test.gov.cn/sert.jpg  Server=192.168.1.2:443

主机能够正常访问代理网站，且服务代理信息记录正确，说明HTTP proxy服务生效。对相同URL的访问请求，被分配到不同的服务器上去处理，说明服务器组的成员之间进行了负载分担。

HTTP proxy功能启动失败。

配置的IPv6地址和侦听端口已被其他功能使用。

当HTTP proxy的TCP侦听端口正在被其他应用侦听时，启动HTTP proxy会失败。可通过display tcp命令查看到当前正在被侦听的端口，并执行protocol-type（http-proxy service）命令修改HTTP proxy的TCP侦听端口号后，再开启HTTP proxy功能。