帧鹰技术
Framehawk 是一种显示远程处理技术,适用于使用宽带无线连接(Wi-Fi 和 4G/LTE 蜂窝网络)的移动办公人员。Framehawk 克服了频谱干扰和多径传播的挑战,为虚拟应用和桌面的用户提供了流畅且交互式的用户体验。对于长距离(高延迟)宽带网络连接的用户而言,Framehawk 可能是一个合适的选择,因为少量数据包丢失可能会降低用户体验。我们建议为此用例使用自适应传输 - 有关详细信息,请参阅自适应传输。
您可以使用 Citrix® 策略模板,以适合您组织的方式,针对一组用户和访问场景实施 Framehawk。Framehawk 针对单屏移动用例,例如笔记本电脑和平板电脑。在实时交互性能的业务价值能够证明服务器资源额外成本和宽带连接要求合理的情况下使用 Framehawk。
Framehawk 如何保持流畅的用户体验
将 Framehawk 视为人眼的软件实现,它查看帧缓冲区中的内容并识别屏幕上不同类型的内容。对用户来说什么最重要?当屏幕区域快速变化时,例如视频或移动图形,人眼不会在意是否丢失了一些像素,因为它们很快就会被新数据覆盖。
但是当涉及到屏幕的静态区域时,例如通知区域中的图标或工具栏,或者滚动到用户想要开始阅读的位置后的文本,人眼会很挑剔。用户希望这些区域像素完美。与旨在从二进制角度实现技术准确性的协议不同,Framehawk 旨在与使用该技术的人相关。
Framehawk 包含下一代服务质量信号放大器以及基于时间的热图,用于更精细、更高效地识别工作负载。它除了数据压缩之外,还使用自主、自修复转换,并避免数据重传,以保持点击响应、线性度和一致的节奏。在有损网络连接上,Framehawk 可以通过插值隐藏丢失,用户仍然能感知到良好的图像质量,同时享受更流畅的体验。此外,Framehawk 算法能够智能地区分不同类型的数据包丢失。例如,随机丢失(发送更多数据进行补偿)与拥塞丢失(不发送更多数据,因为通道已堵塞)。
Citrix Receiver™ 中的 Framehawk 意图引擎区分向上或向下滚动、缩放、向左或向右移动、阅读、打字以及其他常见操作。该引擎还使用共享字典管理与虚拟投递代理 (VDA) 的通信。如果用户正在尝试阅读,文本的视觉质量必须出色。如果用户正在滚动,它必须快速流畅。并且它必须是可中断的,以便用户始终能够控制与应用程序或桌面的交互。
通过测量网络连接上的节奏(传动装置,类似于自行车链条上的张力),Framehawk 逻辑反应更快,在高延迟连接上提供卓越的体验。这种独特且获得专利的传动系统提供关于网络状况的持续最新反馈,使 Framehawk 能够立即响应带宽、延迟和丢失的变化。
使用 Thinwire 和 帧鹰 的设计注意事项
尽管 Thinwire 在带宽效率方面一直处于行业领先地位,并适用于广泛的访问场景和网络条件,但它使用 TCP 进行可靠的数据通信。因此,它必须在有损或过载的网络上重传数据包,导致用户体验滞后。Thinwire 通过增强型数据传输 (EDT) 层可用,解决了 TCP 在高延迟网络连接上的局限性。
Framehawk 使用基于用户数据报协议 (UDP) 构建的数据传输层。UDP 是 Framehawk 如何克服数据丢失的一小部分,正如您在将 Framehawk 的性能与其他基于 UDP 的协议进行比较时所看到的那样。UDP 为使 Framehawk 脱颖而出的人性化技术提供了重要基础。
Framehawk 需要多少带宽?
宽带无线的含义取决于几个因素,包括有多少用户共享连接、连接质量以及正在使用的应用程序。为了获得最佳性能,Citrix 建议基准为 4 Mbps 或 5 Mbps,外加每并发用户约 150 Kbps。
我们对 Thinwire 的带宽建议通常是基准 1.5 Mbps,外加每用户 150 Kbps。有关详细信息,请参阅 XenApp 和 XenDesktop 带宽博客)。在 3% 的数据包丢失率下,您会发现,通过 TCP 的 Thinwire 需要比 Framehawk 更多的带宽才能保持良好的用户体验。
Thinwire 仍然是 ICA® 协议中的主要显示远程处理通道。Framehawk 默认处于禁用状态。Citrix 建议选择性地启用它,以解决您组织中的宽带无线访问场景。请记住,Framehawk 比 Thinwire 需要更多的服务器资源(CPU 和内存)。
帧鹰技术和 HDX™ 3D 专业版
Framehawk 支持所有 HDX 3D Pro 用例,包括 XenApp(服务器操作系统)和 XenDesktop(桌面操作系统)应用程序。它已在客户环境中通过 400-500 毫秒延迟和 1-2% 数据包丢失的验证。因此,它在使用 AutoCAD、Siemens NX 等典型 3D 建模应用程序时提供了良好的交互性。此支持扩展了在移动中、从离岸位置或在网络条件不佳的情况下查看和操作大型 CAD 模型的能力。(建议需要通过长距离网络连接交付 3D 应用程序的组织使用自适应传输。有关详细信息,请参阅 自适应传输。)
启用此功能不需要任何额外的配置任务。安装 VDA 时,请在安装开始时选择 3DPro 选项:
通过此选择,HDX 使用 GPU 供应商视频驱动程序而不是 Citrix 视频驱动程序。它默认为通过 Thinwire 进行全屏 H.264 编码,而不是通常的自适应显示和选择性 H.264 编码的默认设置。
系统要求和注意事项
Framehawk 需要最低 VDA 7.6.300 和 组策略管理 7.6.300。
端点必须至少安装适用于 Windows 的 Citrix Receiver 4.3.100 或更高版本,或适用于 iOS 的 Citrix Receiver 6.0.1 或更高版本。
默认情况下,Framehawk 使用双向用户数据报协议 (UDP) 端口范围 (3224-3324) 与 Citrix Receiver 交换 Framehawk 显示通道数据。该范围可以在名为 Framehawk 显示通道端口范围 的策略设置中自定义。客户端与虚拟桌面之间的每个并发连接都需要一个唯一的端口。对于多用户操作系统环境(例如 XenApp 服务器),请定义足够的端口以支持最大数量的并发用户会话。对于单用户操作系统(例如 VDI 桌面),定义单个 UDP 端口就足够了。Framehawk 尝试使用第一个定义的端口,直到范围中指定的最后一个端口。这适用于通过 NetScaler Gateway 的情况,以及直接连接到 StoreFront™ 服务器的内部连接。
对于远程访问,必须部署 NetScaler® Gateway。默认情况下,NetScaler 使用 UDP 端口 443 在客户端 Citrix Receivers 和 Gateway 之间进行加密通信。必须在任何外部防火墙上打开此端口,以允许双向安全通信。此功能称为数据报传输安全 (DTLS)。
注意:
Framehawk/DTLS 连接在符合 FIPS 标准的设备上不受支持。
从 NetScaler 网关 11.0.62 版本和 NetScaler 统一网关 11.0.64.34 版本或更高版本开始,支持加密的 Framehawk 连接。
NetScaler High Availability (HA) is supported from XenApp and XenDesktop 7.12.
在实施 Framehawk 之前,请考虑以下最佳实践:
- 请联系您的安全管理员,确认为 Framehawk 定义的 UDP 端口已在防火墙上打开。安装过程不会自动配置防火墙。
- 通常,NetScaler Gateway 可能会安装在 DMZ 中,外部和内部两侧都有防火墙。请确保外部防火墙上打开了 UDP 端口 443。如果环境使用默认端口范围,请确保内部防火墙上打开了 UDP 端口 3224-3324。
配置设置
注意:
Citrix 建议您仅为可能遇到高数据包丢失的用户启用 Framehawk。我们还建议您不要将 Framehawk 作为站点中所有对象的通用策略启用。
Framehawk 默认处于禁用状态。启用后,服务器会尝试将 Framehawk 用于用户图形和输入。如果由于任何原因未满足先决条件,则会使用默认模式 (Thinwire) 建立连接。
以下策略设置会影响 Framehawk:
- Framehawk 显示通道:启用或禁用此功能。
- Framehawk 显示通道端口范围:指定 VDA 用于与用户设备交换 Framehawk 显示通道数据的 UDP 端口号范围(从最低端口号到最高端口号)。VDA 会尝试使用每个端口,从最低端口号开始,并在每次后续尝试时递增。该端口处理入站和出站流量。
为 Framehawk 显示通道打开端口
从 XenApp and XenDesktop 7.8 开始,VDA 安装程序的“功能”步骤中提供了一个重新配置防火墙的选项。如果选中此复选框,它将在 Windows 防火墙上打开 UDP 端口 3224-3324。在某些情况下需要手动配置防火墙:
- 对于任何网络防火墙。 或
- 默认端口范围已自定义。
要打开这些 UDP 端口,请选中“Framehawk”复选框:
打开 UDP 端口(/zh-cn/xenapp-and-xendesktop/7-15-ltsr/media/features-open-UDP-ports-for-FH.png)
您还可以使用命令行,通过 /ENABLE_FRAMEHAWK_PORT 为 Framehawk 打开用户数据报协议端口:
打开 FH 端口(/zh-cn/xenapp-and-xendesktop/7-15-ltsr/media/command-line-open-FH-ports.png)
验证 Framehawk 用户数据报协议端口分配
在安装过程中,您可以在防火墙屏幕中验证分配给 Framehawk 的 UDP 端口:
默认 UDP 端口(/zh-cn/xenapp-and-xendesktop/7-15-ltsr/media/firewall-default-UDP-ports-FH.png)
摘要屏幕指示 Framehawk 功能是否已启用:
摘要屏幕 FH(/zh-cn/xenapp-and-xendesktop/7-15-ltsr/media/summary-screen-FH-enabled.png)
NetScaler 网关 对 帧霍克 的支持
加密的 Framehawk 流量在 NetScaler 网关 11.0.62.10 或更高版本以及 NetScaler 统一网关 11.0.64.34 或更高版本上受支持。
- NetScaler Gateway 是指部署架构中,网关 VPN vServer 可从最终用户设备直接访问。也就是说,VPN vServer 分配有公共 IP 地址,用户直接连接到此 IP 地址。
- 带有 Unified Gateway 的 NetScaler 指的是以下部署:Gateway VPN vServer 作为目标绑定到内容交换 vServer (CS)。在此部署中,CS vServer 具有公共互联网协议地址,并且 Gateway VPN vServer 具有虚拟互联网协议地址。
要在 NetScaler Gateway 上启用 Framehawk 支持,必须在网关 VPN vServer 级别启用 DTLS 参数。启用该参数并正确更新 XenApp 或 XenDesktop® 上的组件后,Framehawk 音频、视频和交互式流量将在网关 VPN vServer 和用户设备之间加密。
Framehawk 功能支持 NetScaler 网关、统一网关以及 NetScaler 网关 + 全局服务器负载平衡。
Framehawk 不支持以下方案:
- HDX 洞察
- NetScaler 网关在 IPv6 模式下的功能支持
- NetScaler 网关双跳功能
- 采用群集设置的 NetScaler 网关
| 场景 | 帧霍克 支持 |
|---|---|
| 网思乐网关 | 是 |
| NetScaler + 全局服务器负载平衡 | 是 |
| 采用统一网关的 NetScaler | 是。注意: 支持 Unified Gateway 11.0.64.34 版及更高版本。 |
| HDX 洞察 | 否 |
| IPv6 模式下的网思乐网关 | 否 |
| 思杰 NetScaler 网关双跳 | 否 |
| NetScaler Gateway 上的多个安全票证颁发机构 | 是 |
| 思杰 NetScaler 网关和高可用性 | 是 |
| NetScaler 网关和群集设置 | 否 |
Configuring NetScaler for Framehawk support
要在 NetScaler 网关 上启用 Framehawk 支持,请在 网关 VPN vServer 级别启用 DTLS 参数。启用此参数并正确更新 XenApp® 或 XenDesktop 上的组件后,Framehawk 音频、视频和交互式流量将在 网关 VPN vServer 和用户设备之间加密。
如果要在 NetScaler Gateway 上为远程访问启用 UDP 加密,则需要此配置。
在配置 NetScaler 以支持 Framehawk 时,请执行以下操作:
- 确保任何外部防火墙上都打开了 UDP 端口 443
- 确保任何外部防火墙上都打开了 CGP 端口(默认为 2598)
- 在 VPN 虚拟服务器的设置中启用 DTLS
- 解除绑定并重新绑定 SSL 证书密钥对。如果您使用的是 NetScaler 11.0.64.34 或更高版本,则不需要此步骤。
To configure NetScaler Gateway for Framehawk support:
- Deploy and configure NetScaler Gateway to communicate with StoreFront and authenticate users for XenApp and XenDesktop.
- 在 NetScaler 配置选项卡中,展开 NetScaler Gateway,然后选择 虚拟服务器。
- 单击 Edit 以显示 VPN 虚拟服务器的基本设置;验证 DTLS 设置的状态。
- 单击 More 以显示更多配置选项:
- 选择 DTLS 以提供数据报协议(如 Framehawk)的通信安全性。单击 OK。VPN 虚拟服务器的基本设置区域显示 DTLS 标志已设置为 True。
- 重新打开 Server Certificate Binding 屏幕,然后单击 + 以绑定证书密钥对。
- 选择之前使用的证书密钥对,然后单击 Select。
- 保存对服务器证书绑定的更改。
- 保存后,将显示证书密钥对。单击 Bind。
- 如果出现 SSL vserver/服务上未配置可用的密码 警告消息,请忽略它。
适用于旧版 NetScaler 网关 的步骤
如果您使用的 NetScaler 网关 版本低于 11.0.64.34:
- 重新打开“服务器证书绑定”屏幕,然后单击“+”以绑定证书密钥对。
- 选择之前创建的证书密钥对,然后单击“选择”。
- 保存对服务器证书绑定的更改。
- 保存后,将显示证书密钥对。单击“绑定”。
- 如果出现“SSL vserver/service 上未配置可用密码”警告消息,请忽略它。
要配置统一网关以支持 Framehawk:
- 确保 Unified Gateway 已安装并正确配置。有关其他信息,请参阅 Citrix 产品文档站点上的 Unified Gateway 信息。
- 在 VPN 虚拟服务器 上启用 DTLS 参数,该 虚拟服务器 作为目标 虚拟服务器 绑定到 CS 虚拟服务器。
局限性
如果客户端设备上存在 NetScaler Gateway 虚拟服务器的陈旧 DNS 条目,自适应传输和 Framehawk 可能会回退到 TCP 传输而不是 UDP 传输。如果发生回退到 TCP 传输的情况,请清除客户端上的 DNS 缓存并重新连接以使用 UDP 传输建立会话。
对其他 VPN 产品的支持
NetScaler Gateway 是唯一支持 Framehawk 所需 UDP 加密的 SSL 虚拟专用网络产品。如果使用其他 SSL 虚拟专用网络或不正确版本的 NetScaler Gateway,Framehawk 策略可能无法应用。传统的 IPsec 虚拟专用网络产品无需任何修改即可支持 Framehawk。
Configure Citrix Receiver for iOS to support Framehawk
To configure older versions of Citrix Receiver for iOS to support Framehawk, you must manually edit default.ica.
- 在 StoreFront 服务器上,请访问位于 c:\inetpub\wwwroot\ 路径下的您应用商店的 App_Data 目录。
- 打开名为 default.ica 的文件,并在 WFClient 配置部分中添加以下配置行: Framehawk=On
- 保存更改。
此过程允许从 iOS 设备上兼容的 Citrix Receiver 建立 Framehawk 会话。如果您使用的是适用于 Windows 的 Citrix Receiver,则不需要此步骤。
注意:
当使用适用于 iOS 的 Citrix Receiver 7.0 及更高版本时,您无需在 default.ica 文件中显式添加参数 Framehawk=On。
对 Framehawk 进行监控和管理
您可以从 Citrix Director 监视 Framehawk 的使用情况和性能。HDX 虚拟通道详细信息视图包含用于在任何会话中对 Framehawk 进行故障排除和监视的有用信息。要查看 Framehawk 相关指标,请选择 Graphics-Framehawk。
如果 Framehawk 连接已建立,您将在详细信息页面中看到 Provider = VD3D 和 Connected = True。虚拟通道状态为空闲是正常的,因为它监视信令通道,该通道仅在初始握手期间使用。此页面还提供有关连接的其他有用统计信息。
如果遇到问题,请参阅 Framehawk 故障排除博客。