- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
22-HTTP proxy配置
本章节下载: 22-HTTP proxy配置 (333.20 KB)
1.12.1 HTTP proxy服务代理HTTP协议配置举例
1.12.2 HTTP proxy服务代理HTTPS协议配置举例
1.13.1 HTTP proxy服务代理HTTP协议配置举例
1.13.2 HTTP proxy服务代理HTTPS协议配置举例
在IPv4网络向IPv6网络过渡的过程中,IPv6用户无法访问仍使用IPv4协议栈的Web服务器。HTTP proxy(HTTP代理)功能通过代理IPv6用户的HTTP/HTTPS请求报文,实现IPv6用户访问IPv4网络Web服务器的目的。
HTTP proxy功能具有以下优点:
· 降低了IPv6网络化的难度,可避免对现有IPv4业务造成影响,实现了向纯IPv6网络的平滑过渡。
· 解决了跨协议栈无法访问Web页面的问题,具有良好的兼容性,提高了网络的可扩展性。
· 支持负载分担功能,提升了网络的运行效率和稳定性,增强了用户体验。
HTTP proxy的工作原理如图1-1所示:
图1-1 HTTP proxy工作原理示意图
(1) IPv6网络用户主机(IPv6 Host)通过DNS服务器,获取到需访问域名对应的IPV6地址为设备(Device)配置HTTP proxy的IPv6地址。并发送IPv6的HTTP/HTTPS请求报文到达设备。
(2) 设备收到IPv6的HTTP/HTTPS请求报文后,检测报文的URL中是否携带HTTP proxy服务的域名信息。若URL中携带HTTP proxy服务的域名信息,剥离报文的URL中添加的域名信息,将报文的URL还原为原始的URL。
(3) 设备重新封装HTTP/HTTPS请求报文发送给Web服务器(IPv4 Server)。若访问外部Web服务器时,需通过配置DNS服务器解析出URL对应的IPv4地址。
(4) Web服务器将HTTP/HTTPS应答报文发送到设备。设备收到HTTP/HTTPS应答报文后,检测访问的资源内容是否为非本网站的媒体资源(图片、视频等)或非本网站的超级链接,若是则对HTTP/HTTPS应答报文的URL添加HTTP proxy服务的域名信息。保证用户再次访问时,可以将HTTP/HTTPS请求报文发送给设备。
(5) 设备将HTTP/HTTPS应答报文重新封装后发送给主机。
当IPv6网络用户访问的IPv4服务器Web页面上存在非本网站的媒体资源(图片、视频等)或非本网站的超级链接时,会出现Web页面无法访问的问题。
图1-2 非本网站链接代理工作原理示意图
(1) 设备收到IPv4网络的Web服务器返回的HTTP/HTTPS应答报文后,为这类外部链接添加已配置的域名信息。
(2) IPv6网络用户再次访问时,DNS服务器解析出添加的域名信息对应的IPv6地址为HTTP proxy的IPv6地址。用户发送访问外部链接的HTTP/HTTPS请求报文到达设备。
(3) 设备收到IPv6网络用户访问外部链接的HTTP/HTTPS请求报文,剥离报文的URL中添加的域名信息。
(4) 设备通过配置的DNS服务器解析出HTTP/HTTPS请求报文的IPv4地址。
(5) 设备根据解析出的IPv4地址,将HTTP/HTTPS请求报文重新封装后,发送给需要访问的外部的Web服务器。
(6) 外部的Web服务器将HTTP/HTTPS应答报文发送给设备。
(7) 设备将HTTP/HTTPS响应报文重新封装后发送给主机。
在IPv4网络中,可能同时存在多台Web服务器可以提供相同的服务,HTTP proxy将提供相同服务的多台Web服务器添加到同一个Web服务器组。设备收到的HTTP/HTTPS请求报文后,根据一定的算法将流量分配到不同的Web服务器上进行流量的负载分担。HTTP proxy的负载分担功能可以增加网络带宽、提高网络的可用性和灵活性。
HTTP proxy需要安装License才能使用。未安装License时,重启设备会自动删除HTTP proxy的相关配置。有关License的详细介绍,请参见“基础配置指导”中的“License管理”。
在使用HTTP proxy服务提供代理功能时,请确保HTTP proxy服务的上下行流量属于同一个slot(即设备与IPv6用户通信的接口和设备与Web服务器通信的接口属于同一个slot),否则HTTP proxy服务无法代理所需的Web资源。
设备需要通过DNS服务器解析域名时,必须执行dns proxy enable命令来开启DNS proxy功能,否则无法通过DNS服务器解析出需要HTTP proxy服务代理的域名对应的IP地址。有关dns proxy enable命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“域名解析”。
HTTP proxy的配置任务如下:
(1) 配置Web服务器组
(2) 配置HTTP proxy服务
(3) (可选)配置非本网站媒体资源代理功能
(4) (可选)配置非本网站超级链接代理功能
(5) 开启HTTP proxy功能
(6) 配置代理信息记录功能
用户需要代理访问的IPv4 Web服务器的信息在Web服务器组中进行配置。HTTP proxy服务支持代理HTTP和HTTPS两种协议类型,每种协议类型对应一个Web服务器组。Web服务器组需要配置服务协议类型和Web服务器的IP地址和端口号,同一个Web服务器组可以指定多个Web服务器的IP地址和端口号来实现负载分担功能。
Web服务器组参数需要在HTTP proxy服务关联该Web服务器组之前进行配置,若已被关联,必须先解除关联再配置。
Web服务器组内所有Web服务器的服务协议类型必须与本组的协议类型一致。
(1) 进入系统视图。
system-view
(2) 创建Web服务器组,并进入Web服务器组视图。
http-proxy server-group group-name
(3) 配置Web服务器的IP地址和端口号。
ip-address ip-address [ port port-number ]
缺省情况下,未配置Web服务器的IP地址和端口号。
(4) 配置Web服务器组的服务协议类型。
protocol-type { http | https }
缺省情况下,未配置Web服务器组的服务协议类型。
HTTP proxy服务通过指定服务监听的TCP端口号和IPv6地址,代理来自该IPv6地址和TCP端口的HTTP/HTTPS请求。如果HTTP proxy服务需要对用户的HTTPS请求进行代理,则还需要提供SSL证书文件和SSL证书密钥文件来与IPv6客户端建立安全的连接。
配置本功能前,请使用display tcp 命令来查看设备正在使用的TCP端口号,以免HTTP/HTTPS协议的端口号被其他特性占用。
HTTP proxy服务代理的协议类型为HTTPS时,请首先通过FTP或TFTP协议将SSL证书文件和SSL证书密钥文件上传到设备,有关FTP和TFTP的详细介绍,请参见“基础配置指导”中的“FTP和TFTP”
HTTP proxy的服务协议类型与Web服务器组的协议类型可以不同。
修改HTTP proxy服务的参数前,需要先关闭HTTP proxy功能,完成修改后再次开启。
(1) 进入系统视图。
system-view
(2) 创建HTTP proxy服务,并进入HTTP proxy服务视图。
(独立运行模式)
http-proxy service service-name
(IRF模式)
http-proxy service service-name slot slot-number
(3) 配置HTTP proxy服务代理的协议类型和侦听的端口号,以及关联的Web服务器组。
protocol-type { http | https } [ port port-number ] [ server-group group-name ]
缺省情况下,未配置HTTP proxy服务的代理协议类型、侦听的端口号以及关联的Web服务器组。
(4) 配置HTTP proxy服务的IPv6地址。
ipv6-address ipv6-address
缺省情况下,未配置HTTP proxy服务的IPv6地址。
(5) 配置SSL证书文件。
ssl certificate file certificate-file
缺省情况下,未配置SSL证书文件。
(6) 配置SSL证书密钥文件。
ssl certificate key-file key-file
缺省情况下,未配置SSL证书密钥文件。
开启非本网站媒体资源代理功能后,HTTP proxy可以对Web服务器上Web页面中的非本网站媒体资源(图片、视频等)进行代理,使得IPv6主机可以正确获取到Web页面中的这类媒体资源。
配置非本网站媒体资源代理功能前,需要先关闭HTTP proxy功能,完成修改后再次开启。
(1) 进入系统视图。
system-view
(2) 进入HTTP proxy服务视图。
(独立运行模式)
http-proxy service service-name
(IRF模式)
http-proxy service service-name slot slot-number
(3) 配置HTTP proxy服务的域名信息。
domain-name domain-name
缺省情况下,未配置HTTP proxy服务的域名信息。
(4) 配置DNS服务器的IPv4地址。
dns-server ip-address
缺省情况下,未配置DNS服务器的IPv4地址。
(5) 开启HTTP proxy服务的非本网站媒体资源代理功能。
medialink-proxy enable
缺省情况下,HTTP proxy服务的非本网站媒体资源代理功能处于关闭状态。
开启非本网站超级链接代理功能后,设备可以为携带有HTTP proxy服务代理的非本网站超级链接的报文添加HTTP proxy服务的域名信息。实现对Web服务器上的Web页面中的非本网站超级链接进行代理,使得主机可以访问非本网站的资源。
配置非本网站超级链接代理功能前,需要先关闭HTTP proxy功能,完成修改后再次开启。
(1) 进入系统视图。
system-view
(2) 进入HTTP proxy服务视图。
(独立运行模式)
http-proxy service service-name
(IRF模式)
http-proxy service service-name slot slot-number
(3) 配置HTTP proxy服务的域名信息。
domain-name domain-name
缺省情况下,未配置HTTP proxy服务的域名信息。
(4) 配置DNS服务器的IPv4地址。
dns-server ip-address
缺省情况下,未配置DNS服务器的IPv4地址。
(5) 配置需要HTTP proxy服务代理的非本网站超级链接。
hyperlink-proxy link-string
缺省情况下,未配置需要HTTP proxy服务代理的非本网站超级链接。
system-view
(2) 进入HTTP proxy服务视图。
(独立运行模式)
http-proxy service service-name
(IRF模式)
http-proxy service service-name slot slot-number
(3) 开启HTTP proxy服务。
service enable
缺省情况下,HTTP proxy服务处于关闭状态。
通过配置本功能,HTTP proxy服务的代理信息会按照时间顺序记录在指定路径的文件中。可以通过more命令来显示文本文件的内容,有关more的详细介绍,请参见“基础配置命令参考”中“文件系统管理”。
(1) 进入系统视图。
system-view
(2) 创建HTTP proxy服务,并进入HTTP proxy服务视图。
(独立运行模式)
http-proxy service service-name
(IRF模式)
http-proxy service service-name slot slot-number
(3) 开启代理信息记录功能,并指定记录文件路径。
access-record enable file-path path
HTTP proxy服务的代理信息记录功能处于关闭状态,且未配置记录文件路径。
完成上述配置后,在任意视图下执行display命令可以显示配置后HTTP proxy的运行情况,通过查看显示信息验证配置的效果。
表1-1 HTTP proxy显示和维护
|
操作 |
命令 |
|
显示HTTP proxy的配置信息 |
display http-proxy { server-group [ group-name ] | service [ service-name ] } |
如图1-3所示,设备对IPv6主机提供HTTP代理服务,代理IPv6主机对IPv4 Web服务器Server A和Server B的访问。同时,通过文件记录HTTP proxy服务的代理信息。
· HTTP proxy服务的域名为test.gov.cn,HTTP proxy服务的IPv6地址为2001::1/64。
· 用户访问的Web页面上存在非本网站超级链接www.hyperlink.org,以及非本网站媒体资源。
· 域名服务器DNS server的IP地址为8.8.8.8。
图1-3 配置HTTP proxy服务代理HTTP协议组网图
请按照图1-3配置各接口的IP地址和子网掩码,具体配置过程略。
请确保HTTP proxy服务的域名test.gov.cn可以被解析为IPv6地址2001::1/64。
(1) 配置HTTP proxy的Web服务器组。
# 创建名称为httpback的Web服务器组,并进入Web服务器组视图。
<Device> system-view
[Device] http-proxy server-group httpback
# 配置Web服务器组中Web服务器的IP地址为192.168.1.1和192.168.1.2,端口号为80。
[Device-http-proxy-server-group-httpback] ip-address 192.168.1.1 port 80
[Device-http-proxy-server-group-httpback] ip-address 192.168.1.2 port 80
# 配置Web服务器组使用HTTP协议作为服务协议类型。
[Device-http-proxy-server-group-httpback] protocol-type http
[Device-http-proxy-server-group-httpback] quit
(2) 开启设备的DNS proxy功能。
[Device] dns proxy enable
(3) 配置HTTP proxy参数。
# 创建HTTP proxy服务proxyservice,并进入该HTTP proxy服务视图。
[Device] http-proxy service proxyservice
# 配置HTTP proxy服务使用HTTP协议作为服务类型,并关联Web服务器组httpback。
[Device-http-proxy-proxyservice] protocol-type http server-group httpback
# 配置DNS服务器的IPv4地址为8.8.8.8。
[Device-http-proxy-proxyservice] dns-server 8.8.8.8
# 配置HTTP proxy服务的域名为test.gov.cn。
[Device-http-proxy-proxyservice] domain-name test.gov.cn
# 配置HTTP proxy服务的IPv6地址为2001::1。
[Device-http-proxy-proxyservice] ipv6-address 2001::1
# 开启HTTP proxy服务的非本网站媒体资源代理功能。
[Device-http-proxy-proxyservice] medialink-proxy enable
# 配置需要HTTP proxy服务代理的非本网站超级链接为www.hyperlink.org。
[Device-http-proxy-proxyservice] hyperlink-proxy www.hyperlink.org
# 配置连接Web服务器使用的源IP地址池,IP地址范围为192.168.1.10到192.168.1.20。
[Device-http-proxy-proxyservice] ip-pool 192.168.1.10 192.168.1.20
# 开启HTTP proxy服务的代理信息记录功能。
[Device-http-proxy-proxyservice] access-record enable file-path flash:/httpproxy/20191010.log
(4) 开启HTTP proxy功能。
[Device-http-proxy-proxyservice] service enable
[Device-http-proxy-proxyservice] quit
[Device] quit
# 查看HTTP proxy服务的服务器组配置信息。
<Device> display http-proxy server-group
Server group name: httpback
Protocol type: http
Server IP addresses: 192.168.1.1:80
192.168.1.2:80
以上信息表明Web服务器组中httpback已正确配置了服务类型和Web服务器的IPv4地址和端口。
# 显示HTTP proxy服务的服务配置信息。
<Device> display http-proxy service proxyservice
Service name: proxyservice
IPv6 address: 2001::1
Domain name: test.gov.cn
Protocol types: HTTP [Server group: httpback]
SSL certificate file: N/A
SSL certificate key-file: N/A
Hyperlink proxy strings: www.hyperlink.org
DNS server: 8.8.8.8
IP pools: 192.168.1.10 to 192.168.1.20
Medialink proxy: Enabled
HTTP proxy operation recording: Enabled
Operation record file path: flash:/httpproxy/20191010.log
HTTP proxy status: Enabled
以上显示信息表示HTTP proxy服务的参数已经正确配置,并且服务处于开启状态。
# 主机访问代理网站后,在设备上代理信息日志文件中查看HTTP proxy服务的代理信息。
<Device> more flash:/httpproxy/20191010.log
[03/Dec/2019:16:11:35 +0800] Client=2001::4 URL=http://test.gov.cn/desert.jpg Server=192.168.1.1:80
[03/Dec/2019:16:11:35 +0800] Client=2001::4 URL=http://test.gov.cn/config.js Server=192.168.1.1:80
[03/Dec/2019:16:11:36 +0800] Client=2001::4 URL=http://test.gov.cn/config.js Server=192.168.1.2:80
[03/Dec/2019:16:11:36 +0800] Client=2001::4 URL=http://test.gov.cn/desert.jpg Server=192.168.1.2:80
主机能够正常访问代理网站,且服务代理信息记录正确,说明HTTP proxy服务生效。对相同URL的访问请求,被分配到不同的服务器上去处理,说明服务器组的成员之间进行了负载分担。
如图1-4所示,设备对IPv6主机提供HTTPS代理服务,代理IPv6主机对IPv4 Web服务器Server A和Server B的访问。同时,通过文件记录HTTP proxy服务的代理信息。
· HTTP proxy服务的域名为test.gov.cn,HTTP proxy服务的IPv6地址为2001::1/64。
· 用户访问的Web页面上存在非本网站超级链接www.hyperlink.org,以及非本网站媒体资源。
· 域名服务器DNS server的IP地址为8.8.8.8。
图1-4 配置HTTP proxy服务代理HTTPS协议组网图
请按照图1-4配置各接口的IP地址和子网掩码,具体配置过程略。
请确保HTTP proxy服务的域名test.gov.cn可以被解析为IPv6地址2001::1/64。
(1) 通过FTP或TFTP将httpproxy.key和httpproxy.pem文件加载到SSL证书文件路径和SSL证书文件路径。有关FTP和TFTP的详细介绍,请参见“基础配置指导”中的“FTP和TFTP”。
<Device> tftp 2001::1 get httpproxy.key flash:/cert.key
Press CTRL+C to abort.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 8 100 8 0 0 330 0 --:--:-- --:--:-- --:--:-- 571
Writing file...Done.
<Device> tftp 2001::1 get httpproxy.pem flash:/cert.pem
Press CTRL+C to abort.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 8 100 8 0 0 330 0 --:--:-- --:--:-- --:--:-- 571
Writing file...Done.
(2) 创建并配置HTTP proxy的Web服务器组。
# 创建名称为httpsback的Web服务器组,并进入Web服务器组视图。
<Device> system-view
[Device] http-proxy server-group httpsback
# 配置Web服务器组中Web服务器的IP地址为192.168.1.1和192.168.1.2,端口号为443。
[Device-http-proxy-server-group-httpsback] ip-address 192.168.1.1 port 443
[Device-http-proxy-server-group-httpsback] ip-address 192.168.1.2 port 443
# 配置Web服务器组使用HTTPS协议作为服务协议类型。
[Device-http-proxy-server-group-httpsback] protocol-type https
[Device-http-proxy-server-group-httpsback] quit
(3) 开启设备的DNS proxy功能。
[Device] dns proxy enable
(4) 配置HTTP proxy参数
# 创建HTTP proxy服务proxyservice,并进入该HTTP proxy服务视图
[Device] http-proxy service proxyservice
# 配置HTTP proxy服务使用HTTPS协议作为服务类型并关联Web服务器组httpsback。
[Device-http-proxy-proxyservice] protocol-type https server-group httpsback
# 配置SSL证书文件flash:/cert.pem。
[Device-http-proxy-proxyservice] ssl certificate file flash:/cert.pem
# 配置SSL密钥文件flash:/cert.key。
[Device-http-proxy-proxyservice] ssl certificate key-file flash:/cert.key
# 配置DNS服务器的IPv4地址为8.8.8.8。
[Device-http-proxy-proxyservice] dns-server 8.8.8.8
# 配置HTTP proxy服务的域名为test.gov.cn。
[Device-http-proxy-proxyservice] domain-name test.gov.cn
# 配置HTTP proxy服务的IPv6地址为2001::1。
[Device-http-proxy-proxyservice] ipv6-address 2001::1
# 开启HTTP proxy服务的非本网站媒体资源代理功能。
[Device-http-proxy-proxyservice] medialink-proxy enable
# 配置需要HTTP proxy服务代理的非本网站超级链接为www.hyperlink.org。
[Device-http-proxy-proxyservice] hyperlink-proxy www.hyperlink.org
# 配置连接Web服务器使用的源IP地址池,IP地址范围为192.168.1.10到192.168.1.20。
[Device-http-proxy-proxyservice] ip-pool 192.168.1.10 192.168.1.20
# 开启HTTP proxy服务的代理信息记录功能。
[Device-http-proxy-proxyservice] access-record enable file-path flash:/httpproxy/20191010.log
(5) 开启HTTP proxy功能。
[Device-http-proxy-proxyservice] service enable
[Device-http-proxy-proxyservice] quit
[Device] quit
# 查看HTTP proxy服务的服务器组配置信息。
<Device> display http-proxy server-group
Server group name: httpsback
Protocol type: https
Server IP addresses: 192.168.1.1:443
192.168.1.2:443
以上信息表明Web服务器组httpsback已正确配置了服务类型和Web服务器的IPv4地址和端口。
# 显示HTTP proxy服务的服务配置信息。
<Device> display http-proxy service proxyservice
Service name: proxyservice
IPv6 address: 2001::1
Domain name: test.gov.cn
Protocol types: HTTPS [Server group: httpsback]
SSL certificate file: flash:/cert.pem
SSL certificate key-file: flash:/cert.key
Hyperlink proxy strings: www.hyperlink.org
DNS server: 8.8.8.8
IP pools: 192.168.1.10 to 192.168.1.20
Medialink proxy: Enabled
HTTP proxy operation recording: Enabled
Operation record file path: flash:/httpproxy/20191010.log
HTTP proxy status: Enabled
以上显示信息表示HTTP proxy服务的参数已经正确配置,并且服务处于开启状态。
# 主机访问代理网站后,在设备上代理信息日志文件中查看HTTP proxy服务的代理信息。
<Device> more flash:/httpproxy/20191010.log
[03/Dec/2019:16:11:35 +0800] Client=2001::4 URL=https://test.gov.cn/sert.jpg Server=192.168.1.1:443
[03/Dec/2019:16:11:35 +0800] Client=2001::4 URL=https://test.gov.cn/config.js Server=192.168.1.1:443
[03/Dec/2019:16:11:36 +0800] Client=2001::4 URL=https://test.gov.cn/config.js Server=192.168.1.2:443
[03/Dec/2019:16:11:36 +0800] Client=2001::4 URL=https://test.gov.cn/sert.jpg Server=192.168.1.2:443
主机能够正常访问代理网站,且服务代理信息记录正确,说明HTTP proxy服务生效。对相同URL的访问请求,被分配到不同的服务器上去处理,说明服务器组的成员之间进行了负载分担。
如图1-5所示,设备对IPv6主机提供HTTP代理服务,代理IPv6主机对IPv4 Web服务器Server A和Server B的访问。同时,通过文件记录HTTP proxy服务的代理信息。
· HTTP proxy服务的域名为test.gov.cn,HTTP proxy服务的IPv6地址为2001::1/64。
· 用户访问的Web页面上存在非本网站超级链接www.hyperlink.org,以及非本网站媒体资源。
· 域名服务器DNS server的IP地址为8.8.8.8。
图1-5 配置HTTP proxy服务代理HTTP协议组网图
请按照图1-5配置各接口的IP地址和子网掩码,具体配置过程略。
请确保HTTP proxy服务的域名test.gov.cn可以被解析为IPv6地址2001::1/64。
(1) 配置HTTP proxy的Web服务器组。
# 创建名称为httpback的Web服务器组,并进入Web服务器组视图。
<Device> system-view
[Device] http-proxy server-group httpback
# 配置Web服务器组中Web服务器的IP地址为192.168.1.1和192.168.1.2,端口号为80。
[Device-http-proxy-server-group-httpback] ip-address 192.168.1.1 port 80
[Device-http-proxy-server-group-httpback] ip-address 192.168.1.2 port 80
# 配置Web服务器组使用HTTP协议作为服务协议类型。
[Device-http-proxy-server-group-httpback] protocol-type http
[Device-http-proxy-server-group-httpback] quit
(2) 开启设备的DNS proxy功能。
[Device] dns proxy enable
(3) 配置HTTP proxy参数。
# 创建HTTP proxy服务proxyservice,并进入该HTTP proxy服务视图。
[Device] http-proxy service proxyservice slot 1
# 配置HTTP proxy服务使用HTTP协议作为服务类型,并关联Web服务器组httpback。
[Device-http-proxy-proxyservice-slot1] protocol-type http server-group httpback
# 配置DNS服务器的IPv4地址为8.8.8.8。
[Device-http-proxy-proxyservice-slot1] dns-server 8.8.8.8
# 配置HTTP proxy服务的域名为test.gov.cn。
[Device-http-proxy-proxyservice-slot1] domain-name test.gov.cn
# 配置HTTP proxy服务的IPv6地址为2001::1。
[Device-http-proxy-proxyservice-slot1] ipv6-address 2001::1
# 开启HTTP proxy服务的非本网站媒体资源代理功能。
[Device-http-proxy-proxyservice-slot1] medialink-proxy enable
# 配置需要HTTP proxy服务代理的非本网站超级链接为www.hyperlink.org。
[Device-http-proxy-proxyservice-slot1] hyperlink-proxy www.hyperlink.org
# 配置连接Web服务器使用的源IP地址池,IP地址范围为192.168.1.10到192.168.1.20。
[Device-http-proxy-proxyservice-slot1] ip-pool 192.168.1.10 192.168.1.20
# 开启HTTP proxy服务的代理信息记录功能。
[Device-http-proxy-proxyservice-slot1] access-record enable record-path slot1#flash:/httpproxy/20191010.log
(4) 开启HTTP proxy功能。
[Device-http-proxy-proxyservice-slot1] service enable
[Device-http-proxy-proxyservice-slot1] quit
[Device] quit
# 查看HTTP proxy服务的服务器组配置信息。
<Device> display http-proxy server-group
Server group name: httpback
Protocol type: http
Server IP addresses: 192.168.1.1:80
192.168.1.2:80
以上信息表明Web服务器组httpback已正确配置了服务类型和Web服务器的IPv4地址和端口。
# 显示HTTP proxy服务的服务配置信息。
<Device> display http-proxy service proxyservice
Service name: proxyservice
IPv6 address: 2001::1
Domain name: test.gov.cn
Protocol types: HTTP [Server group: httpback]
SSL certificate file: N/A
SSL certificate key-file: N/A
Hyperlink proxy strings: www.hyperlink.org
DNS server: 8.8.8.8
IP pools: 192.168.1.10 to 192.168.1.20
Medialink proxy: Enabled
HTTP proxy operation recording: Enabled
Operation record file path: slot1#flash:/httpproxy/20191010.log
HTTP proxy status: Enabled
以上显示信息表示HTTP proxy服务的参数已经正确配置,并且服务处于开启状态。
# 主机访问代理网站后,在设备上代理信息日志文件中查看HTTP proxy服务的代理信息。
<Device> more slot1#flash:/httpproxy/20191010.log
[03/Dec/2019:16:11:35 +0800] Client=2001::4 URL=http://test.gov.cn/desert.jpg Server=192.168.1.1:80
[03/Dec/2019:16:11:35 +0800] Client=2001::4 URL=http://test.gov.cn/config.js Server=192.168.1.1:80
[03/Dec/2019:16:11:36 +0800] Client=2001::4 URL=http://test.gov.cn/config.js Server=192.168.1.2:80
[03/Dec/2019:16:11:36 +0800] Client=2001::4 URL=http://test.gov.cn/desert.jpg Server=192.168.1.2:80
主机能够正常访问代理网站,且服务代理信息记录正确,说明HTTP proxy服务生效。对相同URL的访问请求,被分配到不同的服务器上去处理,说明服务器组的成员之间进行了负载分担。
如图1-6所示,设备对IPv6主机提供HTTPS代理服务,代理IPv6主机对IPv4 Web服务器Server A和Server B的访问。同时,通过文件记录HTTP proxy服务的代理信息。
· HTTP proxy服务的域名为test.gov.cn,HTTP proxy服务的IPv6地址为2001::1/64。
· 用户访问的Web页面上存在非本网站超级链接www.hyperlink.org,以及非本网站媒体资源。
· 域名服务器DNS server的IP地址为8.8.8.8。
图1-6 配置HTTP proxy服务代理HTTPS协议组网图
请按照图1-6置各接口的IP地址和子网掩码,具体配置过程略。
请确保HTTP proxy服务的域名test.gov.cn可以被解析为IPv6地址2001::1/64。
(1) 通过FTP或TFTP将httpproxy.key和httpproxy.pem文件加载到SSL证书文件路径和SSL证书文件路径。有关FTP和TFTP的详细介绍,请参见“基础配置指导”中的“FTP和TFTP”。
<Device> tftp 2001::1 get httpproxy.key slot1#flash:/cert.key
Press CTRL+C to abort.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 8 100 8 0 0 330 0 --:--:-- --:--:-- --:--:-- 571
Writing file...Done.
<Device> tftp 2001::1 get httpproxy.pem slot1#flash:/cert.pem
Press CTRL+C to abort.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 8 100 8 0 0 330 0 --:--:-- --:--:-- --:--:-- 571
Writing file...Done.
(2) 配置HTTP proxy的Web服务器组。
# 创建名称为httpsback的Web服务器组,并进入该视图。
<Device> system-view
[Device] http-proxy server-group httpsback
# 配置Web服务器组中Web服务器的IP地址为192.168.1.1和192.168.1.2,端口号为443。
[Device-http-proxy-server-group-httpsback] ip-address 192.168.1.1 port 443
[Device-http-proxy-server-group-httpsback] ip-address 192.168.1.2 port 443
# 配置Web服务器组使用HTTPS协议作为服务协议类型。
[Device-http-proxy-server-group-httpsback] protocol-type https
[Device-http-proxy-server-group-httpsback] quit
(3) 开启设备的DNS proxy功能。
[Device] dns proxy enable
(4) 配置HTTP proxy参数。
# 创建HTTP proxy服务proxyservice,并进入该HTTP proxy服务视图。
[Device] http-proxy service proxyservice slot 1
# 配置HTTP proxy服务使用HTTPS协议作为服务类型并关联Web服务器组httpsback。
[Device-http-proxy-proxyservice-slot1] protocol-type https server-group httpsback
# 配置SSL证书文件slot1#flash:/cert.pem。
[Device-http-proxy-proxyservice-slot1] ssl certificate file slot1#flash:/cert.pem
# 配置SSL密钥文件slot1#flash:/cert.key。
[Device-http-proxy-proxyservice-slot1] ssl certificate key-file slot1#flash:/cert.key
# 配置DNS服务器的IPv4地址为8.8.8.8。
[Device-http-proxy-proxyservice-slot1] dns-server 8.8.8.8
# 配置HTTP proxy服务的域名为test.gov.cn。
[Device-http-proxy-proxyservice-slot1] domain-name test.gov.cn
# 配置HTTP proxy服务的IPv6地址为2001::1。
[Device-http-proxy-proxyservice-slot1] ipv6-address 2001::1
# 开启HTTP proxy服务的非本网站媒体资源代理功能。
[Device-http-proxy-proxyservice-slot1] medialink-proxy enable
# 配置需要HTTP proxy服务代理的非本网站超级链接为www.hyperlink.org。
[Device-http-proxy-proxyservice-slot1] hyperlink-proxy www.hyperlink.org
# 配置连接Web服务器使用的源IP地址池,IP地址范围为192.168.1.10到192.168.1.20。
[Device-http-proxy-proxyservice-slot1] ip-pool 192.168.1.10 192.168.1.20
# 开启HTTP proxy服务的代理信息记录功能。
[Device-http-proxy-proxyservice-slot1] access-record enable file-path slot1#flash:/httpproxy/20191010.log
(5) 开启HTTP proxy功能。
[Device-http-proxy-proxyservice-slot1] service enable
[Device-http-proxy-proxyservice-slot1] quit
[Device] quit
# 查看HTTP proxy服务的服务器组配置信息。
<Device> display http-proxy server-group
Server group name: httpsback
Protocol type: https
Server IP addresses: 192.168.1.1:443
192.168.1.2:443
以上信息表明Web服务器组httpsback已正确配置了服务类型和Web服务器的IPv4地址和端口。
# 显示HTTP proxy服务的服务配置信息。
<Device> display http-proxy service proxyservice
Service name: proxyservice
IPv6 address: 2001::1
Domain name: test.gov.cn
Protocol types: HTTPS [Server group: httpsback]
SSL certificate file: slot1#flash:/cert.pem
SSL certificate key-file: slot1#flash:/cert.key
Hyperlink proxy strings: www.hyperlink.org
DNS server: 8.8.8.8
IP pools: 192.168.1.10 to 192.168.1.20
Medialink proxy: Enabled
HTTP proxy operation recording: Enabled
Operation record file path: slot1#flash:/httpproxy/20191010.log
HTTP proxy status: Enabled
以上显示信息表示HTTP proxy服务的参数已经正确配置,并且服务处于开启状态。
# 主机访问代理网站后,在设备上代理信息日志文件中查看HTTP proxy服务的代理信息。
<Device> more slot1#flash:/httpproxy/20191010.log
[03/Dec/2019:16:11:35 +0800] Client=2001::4 URL=https://test.gov.cn/sert.jpg Server=192.168.1.1:443
[03/Dec/2019:16:11:35 +0800] Client=2001::4 URL=https://test.gov.cn/config.js Server=192.168.1.1:443
[03/Dec/2019:16:11:36 +0800] Client=2001::4 URL=https://test.gov.cn/config.js Server=192.168.1.2:443
[03/Dec/2019:16:11:36 +0800] Client=2001::4 URL=https://test.gov.cn/sert.jpg Server=192.168.1.2:443
主机能够正常访问代理网站,且服务代理信息记录正确,说明HTTP proxy服务生效。对相同URL的访问请求,被分配到不同的服务器上去处理,说明服务器组的成员之间进行了负载分担。
HTTP proxy功能启动失败。
配置的IPv6地址和侦听端口已被其他功能使用。
当HTTP proxy的TCP侦听端口正在被其他应用侦听时,启动HTTP proxy会失败。可通过display tcp命令查看到当前正在被侦听的端口,并执行protocol-type(http-proxy service)命令修改HTTP proxy的TCP侦听端口号后,再开启HTTP proxy功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
