弗雷姆霍克
重要提示:
自 Citrix Virtual Apps and Desktops 7 1903 起,帧鹰 不再受支持。请改用已启用 自适应传输 的 瘦线。
Framehawk 是一种专门的显示远程处理技术,适用于在易受高数据包丢失影响的宽带无线连接(Wi-Fi 和 4G/LTE 蜂窝网络)上工作的移动工作人员。Framehawk 克服了频谱干扰和多径传播的挑战。Framehawk 为在 Windows 和 iOS 移动设备(例如笔记本电脑和平板电脑)上使用虚拟应用程序和桌面的用户提供流畅且交互式的用户体验。为了最大限度地提高服务器可伸缩性并最大限度地减少网络带宽消耗,我们建议仅将 Framehawk 用于上述特定用例。对于所有其他用例,我们建议使用自适应传输,它结合了许多 Framehawk 概念以最大限度地提高数据吞吐量。
您可以使用 Citrix® 策略模板,以适合您组织的方式为一组用户和访问场景实施 Framehawk。Framehawk 针对单屏移动用例,例如笔记本电脑和平板电脑。在实时交互性能的业务价值能够证明服务器资源额外成本和宽带连接要求合理的情况下,请使用 Framehawk。
Framehawk 如何保持流畅的用户体验
可以将 Framehawk 视为人眼的软件实现,它查看帧缓冲区中的内容并识别屏幕上不同类型的内容。对用户而言,什么最重要?当屏幕区域快速变化时,例如视频或移动图形,即使丢失一些像素,人眼也无所谓。这些区域会很快被新数据覆盖。
但是,当涉及到屏幕的静态区域时,人眼会很挑剔。例如,通知区域或工具栏中的图标,或者滚动到用户想要开始阅读的位置后的文本。用户希望这些区域像素完美。与旨在从二进制角度实现技术准确性的协议不同,Framehawk 旨在与使用该技术的人类相关。
Framehawk 包含下一代服务质量信号放大器以及基于时间的热图,用于更精细、更高效地识别工作负载。它除了数据压缩之外,还使用自主的自修复转换,并避免数据重传,以保持点击响应、线性度和一致的节奏。在有损网络连接上,Framehawk 可以通过插值隐藏丢失,用户仍然可以感知到良好的图像质量,同时享受更流畅的体验。此外,Framehawk 算法智能地区分不同类型的数据包丢失。例如,随机丢失(发送更多数据以补偿)与拥塞丢失(不发送更多数据,因为通道已堵塞)之间的区别。
Citrix Workspace™ 应用程序中的 Framehawk 意图引擎可区分向上或向下滚动、缩放、向左或向右移动、阅读、打字以及其他常见操作。该引擎还使用共享字典管理与 Virtual Delivery Agent (VDA) 的通信。如果用户正在尝试阅读,则文本的视觉质量必须出色。如果用户正在滚动,则必须快速流畅。并且它必须是可中断的,以便用户始终能够控制与应用程序或桌面的交互。
通过测量网络连接上的节奏(传动,类似于自行车链条上的张力),Framehawk 逻辑反应更快,在高延迟连接上提供卓越的体验。这种独特且获得专利的传动系统提供持续更新的网络状况反馈,使 Framehawk 能够立即对带宽、延迟和丢失的变化做出反应。
Design considerations using Thinwire and Framehawk
Framehawk 使用建立在用户数据报协议 (UDP) 之上的数据传输层。UDP 是 Framehawk 如何克服丢失性的一小部分,您可以通过比较 Framehawk 与其他基于 UDP 的协议的性能来了解这一点。UDP 为使 Framehawk 脱颖而出的人性化技术提供了重要基础。
Framehawk 需要多少带宽?
宽带无线的含义取决于几个因素,包括有多少用户共享连接、连接质量以及正在使用的应用程序。为了获得最佳性能,Citrix 建议基础带宽为 4 Mbps 或 5 Mbps,外加每并发用户约 150 Kbps。
我们对 Thinwire 的带宽建议通常是 1.5 Mbps 的基准带宽,外加每用户 150 Kbps。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 带宽博客)。在 3% 的数据包丢失率下,您会发现基于 TCP 的 Thinwire 需要比 Framehawk 更多的带宽才能保持良好的用户体验。
Thinwire 仍然是 ICA® 协议中的主要显示远程处理通道。Framehawk 默认禁用。Citrix 建议有选择地启用它,以解决您组织中的宽带无线访问场景。请记住,Framehawk 比 Thinwire 需要更多的服务器资源(CPU 和内存)。
必备条件和注意事项
Framehawk 需要最低 VDA 7.6.300 和组策略管理 7.6.300。
端点必须至少安装适用于 Windows 1808 的 Workspace 应用程序、适用于 Windows 4.3.100 的 Citrix 接收器、适用于 iOS 1808 的 Workspace 应用程序或适用于 iOS 6.0.1 的 Citrix 接收器。
默认情况下,Framehawk 使用双向用户数据报协议 (UDP) 端口范围(3224 到 3324)与 Citrix Workspace 应用程序交换 Framehawk 显示通道数据。该范围可以在名为 Framehawk display channel port range 的策略设置中自定义。客户端和虚拟桌面之间的每个并发连接都需要一个唯一的端口。对于多用户操作系统环境,例如 Citrix Virtual Apps™ 服务器,请定义足够的端口以支持最大数量的并发用户会话。对于单用户操作系统,例如 VDI 桌面,定义单个 UDP 端口就足够了。Framehawk 尝试使用第一个定义的端口,并逐步使用到范围内指定的最后一个端口。这适用于通过 Citrix Gateway 的情况,以及直接连接到 StoreFront 服务器的内部连接。
对于远程访问,必须部署 Citrix Gateway。默认情况下,Citrix Gateway 使用 UDP 端口 443 在客户端 Citrix Workspace 应用程序和 Gateway 之间进行加密通信。此端口必须在任何外部防火墙上打开,以允许双向安全通信。此功能称为数据报传输安全 (DTLS)。
注意:
帧鹰/DTLS 连接在 FIPS 设备上不受支持。
Encrypted Framehawk connections are supported, starting with NetScaler Gateway version 11.0.62 and NetScaler Unified Gateway version 11.0.64.34 or later.
NetScaler 的高可用性功能,从 XenApp 和 XenDesktop 7.12 版本开始,便已获得支持。
在实施 Framehawk 之前,请考虑以下建议:
- 请联系您的安全管理员,确认为 Framehawk 定义的 UDP 端口已在防火墙上打开。安装过程不会自动配置防火墙。
- 通常,Citrix Gateway 可能安装在 DMZ 中,外部和内部两侧都有防火墙。确保外部防火墙上打开 UDP 端口 443。如果环境使用默认端口范围,请确保内部防火墙上打开 UDP 端口 3224 到 3324。
配置说明
注意:
Citrix 建议您仅为可能遇到高丢包率的用户启用 Framehawk。我们还建议您不要将 Framehawk 作为站点中所有对象的通用策略启用。
Framehawk 默认处于禁用状态。启用后,服务器会尝试将 Framehawk 用于用户图形和输入。如果由于任何原因未满足先决条件,则使用默认模式 (Thinwire) 建立连接。
以下策略设置会影响 Framehawk:
- Framehawk 显示通道:启用或禁用此功能。
- Framehawk 显示通道端口范围:指定 VDA 用于与用户设备交换 Framehawk 显示通道数据的 UDP 端口号范围(从最低端口号到最高端口号)。VDA 尝试使用每个端口,从最低端口号开始,每次后续尝试递增。该端口处理入站和出站流量。
为 Framehawk 显示通道打开端口
从 XenApp 和 XenDesktop 7.8 开始,在 VDA 安装程序的“功能”步骤中提供了一个重新配置防火墙的选项。如果选中此复选框,它将在 Windows 防火墙上打开 UDP 端口 3224 到 3324。在某些情况下需要手动配置防火墙:
- 对于任何网络防火墙。 或者
- 默认端口范围已自定义。
要打开这些 UDP 端口,请选中“Framehawk”复选框:
You can also use the command line to open UDP ports for Framehawk using /ENABLE_FRAMEHAWK_PORT:
验证 Framehawk 用户数据报协议 (UDP) 端口分配
在安装过程中,您可以在防火墙屏幕中验证分配给 Framehawk 的 UDP 端口:
摘要屏幕指示 Framehawk 功能是否已启用:
思杰网关 对 Framehawk 的支持
加密的 Framehawk 流量受以下版本支持:思杰网关 1808 或更高版本、NetScaler 网关 11.0.62.10 或更高版本,以及思杰统一网关 1808 和 NetScaler 统一网关 11.0.64.34 或更高版本。
- Citrix Gateway 指的是部署架构,其中 Gateway VPN 虚拟服务器可直接从最终用户设备访问。也就是说,VPN 虚拟服务器分配有公共 IP 地址,用户直接连接到此 IP 地址。
- 带 Unified Gateway 的 Citrix Gateway 指的是部署架构,其中 Gateway VPN 虚拟服务器作为目标绑定到内容交换虚拟服务器 (CS)。在此部署中,CS 虚拟服务器具有公共互联网协议地址,而 Gateway VPN 虚拟服务器具有虚拟互联网协议地址。
要在 Citrix Gateway 上启用 Framehawk 支持,必须在 Gateway VPN 虚拟服务器级别启用 DTLS 参数。启用该参数并正确更新 Citrix Virtual Apps 或 Citrix Virtual Desktops™ 上的组件后,Framehawk 音频、视频和交互式流量将在 Gateway VPN 虚拟服务器和用户设备之间加密。
Framehawk 支持 思杰网关、统一网关 和 思杰网关 + 全局服务器负载平衡。
Framehawk 不支持以下场景:
- HDX™ 洞察
- IPv6 模式下的思杰网关
- 思杰网关双跳功能
- 采用群集设置的思杰网关
| 场景 | 帧鹰支持 |
|---|---|
| 思杰网关 | 是 |
| Citrix Gateway + 全局服务器负载平衡 | 是 |
| 带统一网关的 Citrix 网关 | 是。注意:支持 Unified Gateway 11.0.64.34 及更高版本。 |
| HDX 洞察 | 否 |
| IPv6 模式下的思杰网关 | 否 |
| 思杰网关双重跳跃 | 否 |
| Citrix Gateway 上的多个安全票证颁发机构 | 是 |
| 思杰网关和高可用性 | 是 |
| 思杰网关和群集设置 | 否 |
配置思杰网关以支持 Framehawk
要在 Citrix Gateway 上启用 Framehawk 支持,请在 Gateway VPN 虚拟服务器级别启用 DTLS 参数。启用该参数并正确更新 Citrix Virtual Apps and Desktops™ 上的组件后,Framehawk 音频、视频和交互式流量将在 Gateway VPN 虚拟服务器和用户设备之间加密。
如果您要在 Citrix Gateway 上为远程访问启用 UDP 加密,则需要此配置。
配置 思杰网关 以支持 Framehawk 时:
- 确保任何外部防火墙上都打开了 UDP 端口 443
- 确保任何外部防火墙上都打开了 CGP 端口(默认为 2598)
- 在 VPN 虚拟服务器的设置中启用 DTLS
- 解除绑定并重新绑定 SSL 证书密钥对。如果您使用的是 Citrix Gateway 1808 或更高版本,或者 NetScaler 11.0.64.34 或更高版本,则不需要此步骤。
要配置 思杰网关 以支持 Framehawk:
- Deploy and configure Citrix Gateway to communicate with StoreFront™ and authenticate users for Citrix Virtual Apps and Desktops.
- 在 Citrix Gateway 配置选项卡中,展开 Citrix Gateway,然后选择 虚拟服务器。
- 选择 Edit 以显示 VPN 虚拟服务器的基本设置;验证 DTLS 设置的状态。
- 选择 More 以显示更多配置选项:
- 选择 DTLS 以提供数据报协议(例如 Framehawk)的通信安全。单击 OK。VPN 虚拟服务器的基本设置区域显示 DTLS 标志设置为 True。
- 重新打开“服务器证书绑定”屏幕,然后单击 + 以绑定证书密钥对。
- 选择之前使用的证书密钥对,然后单击 Select。
- 保存对服务器证书绑定的更改。
- 保存后,证书密钥对将出现。单击 Bind。
- 如果出现 SSL 虚拟服务器/服务上未配置可用密码 警告消息,请忽略它。
针对较旧版本的 NetScaler® Gateway 的操作步骤
如果您正在使用版本低于 11.0.64.34 的 NetScaler Gateway:
- 重新打开“服务器证书绑定”屏幕,然后单击 + 以绑定证书密钥对。
- 选择之前使用的证书密钥对,然后单击 Select。
- 保存对服务器证书绑定的更改。
- 保存后,证书密钥对将出现。单击 Bind。
- 忽略 SSL 虚拟服务器/服务上未配置可用密码 警告消息(如果出现)。
To configure Unified Gateway for Framehawk support:
- 确保 Unified Gateway 已安装并正确配置。有关其他信息,请参阅 Citrix 产品文档站点上的 Unified Gateway 信息。
- 在作为目标 虚拟服务器 绑定到 CS 虚拟服务器 的 VPN 虚拟服务器 上启用 DTLS 参数。
局限性
如果客户端设备上存在 Citrix Gateway 虚拟服务器的陈旧 DNS 条目,自适应传输和 Framehawk 可能会回退到 TCP 传输而不是 UDP 传输。如果发生回退到 TCP 传输的情况,请清除客户端上的 DNS 缓存并重新连接以使用 UDP 传输建立会话。
Framehawk 不支持 32 位鼠标光标,例如 PTC Creo 等应用程序中的鼠标光标。
Framehawk 专为使用单个显示器的移动设备(如笔记本电脑和平板电脑)设计,在双/多显示器配置中会回退到 Thinwire。
对其他 VPN 产品的支持
Citrix Gateway 是唯一一款能够支持 Framehawk 所需 UDP 加密的 SSL VPN 产品。如果使用了其他 SSL VPN 产品或不正确的 Citrix Gateway 版本,Framehawk 策略可能无法成功应用。传统的 IPsec VPN 产品无需进行任何修改即可支持 Framehawk。
Framehawk 的运行状况监控
您可以从 Citrix Director 监视 Framehawk 的使用情况和性能。HDX 虚拟通道详细信息视图包含用于在任何会话中对 Framehawk 进行故障排除和监视的有用信息。要查看 Framehawk 相关指标,请选择 Graphics-Framehawk。
如果 Framehawk 连接已建立,您将在详细信息页面中看到 Provider = VD3D 和 Connected = True。虚拟通道状态为空闲是正常的,因为它监视信令通道,该通道仅在初始握手期间使用。此页面还提供有关连接的其他有用统计信息。
如果遇到问题,请参阅 Framehawk 故障排除博客。