Product Documentation

Framehawk Virtual Channel

Jul 08, 2016

Einführung

Der virtuelle Framehawk-Kanal optimiert die Bereitstellung virtueller Desktops und Anwendungen für Benutzer über drahtlose Breitbandverbindungen und verlustbehaftete Breitbandnetzwerkverbindungen über große Distanzen mit hohem Paketverlust oder Engpässen. Sie können mit Citrix Richtlinien Framehawk oder ThinWire für Benutzergruppen in einer Weise implementieren, die den gegebenen Netzwerkeigenschaften angepasst ist und den allgemeinen Erwartungen an Skalierbarkeit und Leistung entspricht.

Bisher galten generell Framerate und Anzeigequalität als Basisparameter für eine positive Benutzererfahrung. Durch Framehawk wird diese Definition um den Begriff der Linearität erweitert. Die Benutzer sollten ohne Ablenkung in den Genuss einer guten Benutzererfahrung kommen. In einem problembehafteten Netzwerk tritt der bei allen Protokollen bekannte Gummibandeffekt auf. Dieser verleitet den Benutzer, der nicht sicher ist, ob der Bildschirm noch reagiert, zu erratischen Mausklicks und führt zu unerwünschten Ergebnissen. Framehawk vermindert dieses Problem, insbesondere bei schwierigen Netzwerkbedingungen.

Bei privaten High-Speed-Internet-Verbindungen treten häufig Leistungsprobleme auf, z. B. aufgrund von Konflikten mit benachbarten WiFi-Signalen oder Funkstörungen, die durch schnurlose Geräte verursacht werden. Immer mehr Benutzer stellen eine Verbindung mit gehosteten Apps und Daten über 3G- oder 4G/LTE-Mobilfunknetze her oder verwenden Inflight-Internet-Dienste. Beliebt sind auch öffentliche WLAN-Hotspots in Cafés und Hotels, wo ebenfalls häufig Netzwerkengpässe auftreten.

Mit Framehawk wird die Benutzererfahrung bei hoher Latenz interaktiver (stärker lineares Echoback der Zeichen).

Wirkungsweise von Framehawk

Bei der Betrachtung des Inhalts des Framepuffers und der Unterscheidung verschiedener Inhaltsarten auf dem Bildschirm wirkt Framehawk wie das menschliche Auge. Was ist dem Benutzer wichtig? In Bildschirmbereichen mit schnellen Änderungen (Video, Animationen etc.) spielt es für das menschliche Auge keine Rolle, wenn einige Pixel verloren gehen, da sie schnell durch neue Daten überschrieben werden.

Bei statischen Bereichen, z. B. Symbolleisten oder Text kurz nach Ausführen eines Bildlaufs an, den der Benutzer direkt lesen möchte, ist das menschliche Auge sehr anspruchsvoll. Diese Bereiche müssen pixelgenau sein. Im Gegensatz zu Protokollen, bei denen dich technische Präzision im Sinne von Nullen und Einsen im Vordergrund steht, ist Framehawk stärker auf die menschlichen Nutzer von Technik ausgelegt.

Framehawk umfasst einen völlig neuen QoS-Signalverstärker sowie eine zeitabhängige Heatmap zur exakteren und effizienten Arbeitslasterkennung. Zusätzlich zur Datenkomprimierung werden in Framehawk autonome, selbstkorrigierende Transformationen verwendet, die erneute Übertragung von Daten wird zur Gewährleistung von Klickantwort, Linearität und konsistenter Kadenz vermieden. In einem verlustreichen Netzwerk kann Framehawk Verluste durch Interpolation ausgleichen, sodass der Benutzer die Bildqualität weiterhin als gut empfindet und die Benutzererfahrung sogar flüssiger wird. Die Algorithmen von Framehawk können darüber hinaus die verschiedenen Arten des Paketverlusts unterscheiden, etwa den regellosen Verlust (weitere Daten zur Kompensierung senden) und den Verlust durch Engpässe (keine weiteren Daten senden, da der Kanal bereits blockiert ist).

Die Framehawk Intent Engine unterscheidet Bildlauf nach oben oder unten, Vergrößern, Verschieben nach links oder rechts, Lesen, Eingeben und weitere übliche Aktionen und steuert die Antwort an den Virtual Delivery Agent (VDA) mit einem freigegebenen Wörterbuch. Wenn der Benutzer lesen möchte, muss die visuelle Qualität des Texts hervorragend sein. Führt er einen Bildlauf durch, muss dieser schnell und gleichmäßig sein. Er muss außerdem unterbrochen werden können, damit der Benutzer die Interaktion mit der Anwendung oder dem Desktop jederzeit unter Kontrolle hat.

Durch die Messung der Kadenz der Netzwerkverbindung kann die Framehawk-Logik schneller reagieren und bei Verbindungen mit hoher Latenz eine bessere Benutzererfahrung ermöglichen. Dieses einzigartige, patentierte Verfahren liefert kontinuierlich aktuelle Rückmeldungen zu Netzwerkbedingungen, sodass Framehawk auf Änderungen bei Bandbreite, Latenz und Verlust sofort reagieren kann.

ThinWire und Framehawk – Überlegungen zur Auslegung

ThinWire ist branchenweit erste Wahl in puncto Bandbreiteneffizienz und eignet sich gut für viele Zugriffsszenarien und Netzwerkbedingungen. Allerdings wird zur Gewährleistung einer zuverlässigen Datenkommunikation bei ThinWire TCP verwendet, wodurch in verlustreichen oder überlasteten Netzwerken eine Paketneuübertragung erforderlich ist, um Verzögerungen beim Endbenutzer zu vermeiden.

Die Datenübertragung bei Framehawk basiert auf UDP und damit auf dem Ansatz "so gut wie möglich". UDP macht nur einen kleinen Teil der Überwindung von Paketverlusten bei Framehawk aus, was deutlich wird, wenn man seine Leistung mit der anderer UDP-basierter Protokolle vergleicht. Allerdings bildet UDP die Grundlage für die menschenorientierte Technik, die Framehawk von anderen Lösungen abhebt.

Wie viel Bandbreite benötigt Framehawk?

Die Bezeichnung Breitband-WLAN hängt von verschiedenen Faktoren ab, etwa der Zahl der Benutzer, die eine Verbindung teilen, der Qualität der Verbindung und der verwendeten Apps. Zur Erzielung einer optimalen Leistung empfiehlt Citrix einen Grundwert von 4 oder 5 MBit/s plus ca. 150 KBit/s pro gleichzeitig verbundenem Benutzer. 

Citrix empfiehlt für ThinWire generell eine Bandbreite von 1,5 MBit/s plus 150 KBit/s pro Benutzer (Details siehe Blog zu XenApp- und XenDesktop-Bandbreite), bei einem Paketverlust von 3 % benötigt ThinWire aber viel mehr Bandbreite als Framehawk, um eine gute Benutzererfahrung zu gewährleisten.

Hinweis: ThinWire ist weiterhin der Primärkanal für das Anzeigen-Remoting des ICA-Protokolls. Framehawk ist standardmäßig deaktiviert. Citrix empfiehlt die selektive Aktivierung für spezifische Breitband-WLAN-Szenarios in Ihrer Organisation.

Framehawk und HDX 3D Pro

Framehawk unterstützt jetzt alle Anwendungsfälle von HDX 3D Pro für XenApp-Apps (Serverbetriebssystem) und XenDesktop-Apps (Desktopbetriebssystem). In frühen Previews wurden in Kundenumgebungen Latenzen von 400-500 ms und Paketverluste von 1-2 % gemessen, wodurch bei gebräuchlichen Anwendungen zur 3D-Modellierung (z. B. AutoCAD, Siemens NX) eine gute Interaktivität erzielt wird. Diese Unterstützung ermöglicht nun auch die Anzeige von und Arbeit an großen CAD-Modellen im mobilen Einsatz oder an entfernten Standorten mit schlechten Netzwerkverbindungen.

Zur Aktivierung dieser Funktion ist keine gesonderte Konfiguration erforderlich. Beim Installieren des VDAs wählen Sie die 3DPro-Option zu Beginn der Installation aus: 

localized image

Anforderungen und Überlegungen

Framehawk erfordert mindestens VDA 7.6.300 und Gruppenrichtlinienverwaltung 7.6.300. 

Auf dem Endpunkt muss mindestens Citrix Receiver für Windows 4.3.100 oder Citrix Receiver für iOS 6.0.1 ausgeführt werden.

Standardmäßig verwendet Framehawk den bidirektionalen UDP-Portbereich (3224-3324) zum Austausch von Framehawk-Anzeigekanaldaten mit Citrix Receiver. Dieser Bereich kann über die Richtlinieneinstellung "Portbereich für Framehawk-Anzeigekanal" angepasst werden. Jede einzelne Verbindung zwischen dem Client und dem virtuellen Desktop erfordert einen eigenen Port. In Betriebssystemumgebungen mit mehreren Benutzern (z. B. XenApp-Server) müssen Sie ausreichend Ports für die maximale Zahl gleichzeitiger Benutzersitzungen definieren. Bei Einzelbenutzer-Betriebssystemen wie etwa VDI-Desktops reicht ein UDP-Port. Framehawk versucht die Verwendung der Ports beginnend vom ersten bis zum letzten im angegebenen Bereich. Dies gilt sowohl für Verbindungen über NetScaler Gateway als auch für direkte interne Verbindungen mit dem StoreFront-Server.

Für den Remotezugriff muss NetScaler Gateway bereitgestellt sein. Standardmäßig verwendet NetScaler UDP-Port 443 für die verschlüsselte Kommunikation zwischen Citrix Receiver auf dem Client und dem Gateway. Dieser Port muss in allen externen Firewalls geöffnet sein, damit eine sichere Kommunikation in beide Richtungen möglich ist. Das Feature wird als "Datagram Transport Security" (DTLS) bezeichnet.

Hinweis: Framehawk-/DTLS-Verbindungen werden auf FIPS-Geräten nicht unterstützt.

Verschlüsselte Framehawk-Verbindungen werden unter NetScaler Gateway ab Version 11.0.62 und unter NetScaler Unified Gateway ab Version 11.0.64.34 unterstützt. 

Bei der Implementierung virtueller Framehawk-Kanäle empfehlen sich folgende bewährte Methoden:

  • Vergewissern Sie sich beim Sicherheitsadministrator, dass die für Framehawk definierten UDP-Ports in der Firewall geöffnet sind. Die Firewall wird bei der Installation nicht automatisch konfiguriert.
  • In vielen Fällen ist NetScaler Gateway in der DMZ umgeben von einer externen und einer internen Firewall installiert. UDP-Port 443 muss in der externen Firewall geöffnet sein. Wenn die Standardportbereiche verwendet werden, muss der UDP-Portbereich 3224-3324 in der internen Firewall geöffnet sein.

Konfiguration

Achtung: Framehawk sollte nur für Benutzer mit hohem Paketverlust aktiviert werden. Es wird außerdem empfohlen, Framehawk nicht als universelle Richtlinie für alle Objekte der Site zu aktivieren.

Framehawk Virtual Channel ist standardmäßig deaktiviert.  Wenn das Feature aktiviert ist, versucht der Server, Framehawk Virtual Channel für die Grafiken und Eingaben der Benutzer zu verwenden. Sind die Voraussetzungen nicht erfüllt, wird die Verbindung im Standardmodus (ThinWire) hergestellt.

Die folgenden Richtlinieneinstellungen wirken sich auf Framehawk aus:

  • Framehawk-Anzeigekanal: aktiviert oder deaktiviert das Feature.
  • Portbereich für Framehawk-Anzeigekanal: Bereich der UDP-Portnummern (niedrigste Portnummer bis höchste Portnummer), die der VDA für den Austausch von Framehawk-Anzeigekanaldaten mit dem Benutzergerät verwendet. Der VDA versucht die Verwendung eines Ports, beginnend bei dem Port mit der niedrigsten Nummer und geht dann ggf. zu dem Port mit der nächsthöheren Nummer über. Über den Port erfolgen eingehende und ausgehende Datenübertragungen.

Öffnen von Ports für den Framehawk-Anzeigekanal

In Release 7.8 gibt es eine neue Option zum Konfigurieren der Firewall im Schritt Features des VDA-Installationsprogramms. Über das zugehörige Kontrollkästchen werden die UDP-Ports 3224-3324 in der Windows-Firewall geöffnet. In folgenden Fällen ist eine manuelle Firewallkonfiguration erforderlich:

  • Es handelt sich um eine Netzwerkfirewall.
  • Der Standardportbereich wird angepasst.

Zum Öffnen der UDP-Ports aktivieren Sie das Kontrollkästchen Framehawk:

localized image

Sie können die UDP-Ports für Framehawk Virtual Channel auch über die Befehlszeile durch Eingabe von /ENABLE_FRAMEHAWK_PORT öffnen:

localized image

Überprüfen der UDP-Portzuweisungen für Framehawk

Während der Installation können Sie die Framehawk Virtual Channel zugewiesenen UDP-Ports im Bildschirm Firewall überprüfen:

localized image

Auf der Registerkarte Zusammenfassung wird angezeigt, ob Framehawk Virtual Channel aktiviert ist: 

localized image

NetScaler Gateway-Unterstützung für Framehawk

Verschlüsselter Framehawk-Datenverkehr wird unter NetScaler Gateway ab Version 11.0.62.10 und unter NetScaler Unified Gateway ab Version 11.0.64.34 unterstützt.

  • NetScaler Gateway bezieht sich auf eine Bereitstellungsarchitektur, in der der virtuelle Gateway-VPN-Server direkt für das Gerät des Endbenutzers zugänglich ist, d. h. der virtuelle VPN-Server hat eine öffentliche IP-Adresse und der Benutzer stellt direkt eine Verbindung mit dieser IP-Adresse her.
  • NetScaler Unified Gateway bezieht sich auf eine Bereitstellung, in der der virtuelle Gateway-VPN-Server als Ziel an den virtuellen Content Switching-Server (CS) gebunden ist. In einer solchen Bereitstellung hat der virtuelle CS-Server die öffentliche IP-Adresse und der virtuelle Gateway-VPN-Server hat eine Pseudo-IP-Adresse.

Zum Aktivieren der Framehawk-Unterstützung unter NetScaler Gateway muss der DTLS-Parameter auf der Ebene des virtuellen Gateway-VPN-Servers aktiviert sein. Wenn der Parameter aktiviert ist und die Komponenten in XenApp bzw. XenDesktop ordnungsgemäß aktualisiert wurden, wird der Audio-, Video- und Interaktionsdatenverkehr von Framehawk zwischen dem virtuellen Gateway-VPN-Server und dem Benutzergerät verschlüsselt.

NetScaler Gateway, Unified Gateway und NetScaler Gateway + Global Server Load Balancing werden mit Framehawk unterstützt.

Folgendes wird mit Framehawk nicht unterstützt:

  • HDX Insight
  • NetScaler Gateway im IPv6-Modus
  • NetScaler Gateway Double Hop
  • Mehrere Secure Ticket Authoritys (STA) für NetScaler Gateway
  • NetScaler Gateway mit hoher Verfügbarkeit
  • NetScaler Gateway im Cluster
SzenarioUnterstützung für Framehawk
NetScaler GatewayJa
NetScaler + Global Server Load Balancing Ja
NetScaler mit Unified Gateway

Ja

Hinweis: Unified Gateway wird ab Version 11.0.64.34 unterstützt.

HDX InsightNein
NetScaler Gateway im IPv6-ModusNein
NetScaler Gateway Double HopNein
Mehrere Secure Ticket Authoritys (STA) für NetScaler GatewayNein
NetScaler Gateway mit hoher VerfügbarkeitNein
NetScaler Gateway im ClusterNein

Konfigurieren der NetScaler-Unterstützung für Framehawk

Zum Aktivieren der Framehawk-Unterstützung unter NetScaler Gateway muss der DTLS-Parameter auf der Ebene des virtuellen Gateway-VPN-Servers aktiviert sein. Wenn der Parameter aktiviert ist und die Komponenten in XenApp bzw. XenDesktop ordnungsgemäß aktualisiert wurden, wird der Audio-, Video- und Interaktionsdatenverkehr von Framehawk zwischen dem virtuellen Gateway-VPN-vServer und dem Benutzergerät verschlüsselt. 

Diese Konfiguration ist erforderlich, wenn Sie die UDP-Verschlüsselung unter NetScaler Gateway für den Remotezugriff aktivieren. 

NetScaler-Unterstützung für Framehawk erfordert Folgendes:

  • UDP-Port 443 muss in der externen Firewall geöffnet sein.
  • CGP-Standardport 2598 muss in der externen Firewall geöffnet sein.
  • DTLS muss in den Einstellungen des virtuellen VPN-Servers aktiviert sein.
  • Lösen Sie die Bindung des SSL-Zertifikatschlüsselpaars und binden Sie es erneut. Dies ist nicht erforderlich, wenn Sie NetScaler ab Version 11.0.64.34 verwenden.

Konfigurieren der NetScaler Gateway-Unterstützung für Framehawk

  1. Stellen Sie NetScaler Gateway bereit und konfigurieren Sie es für die Kommunikation mit StoreFront und zur Authentifizierung der Benutzer von XenApp und XenDesktop.
  2. Erweitern Sie auf der Registerkarte "Configuration" von NetScaler die Option "NetScaler Gateway" und wählen Sie Virtual Servers.
  3. Klicken Sie auf Edit, um die Grundeinstellungen des virtuellen VPN-Servers anzuzeigen und prüfen Sie die DTLS-Einstellung.
  4. Klicken Sie auf More, um weitere Konfigurationsoptionen aufzurufen:
  5. Wählen Sie DTLS, um die Sicherheit für Datagramm-Protokolle wie Framehawk zu aktivieren. Klicken Sie auf OK. Im Bereich mit den Grundeinstellungen des virtuellen VPN-Servers wird das DTLS-Flag mit der Einstellung True angezeigt. 
  6. Öffnen Sie den Bildschirm "Server Certificate Binding" erneut und klicken Sie auf +, um das Zertifikatschlüsselpaar zu binden.
  7. Wählen Sie das Zertifikatschlüsselpaar (s. oben) und dann Select.
  8. Speichern Sie die Änderungen an der Serverzertifikatbindung.
  9. Nach dem Speichern wird das Zertifikatschlüsselpaar angezeigt. Klicken Sie auf Bind.
  10. Ignorieren Sie Meldung "No usable ciphers configured on the SSL vserver/service", sofern sie angezeigt wird.

Zusätzliche Schritte bei älteren NetScaler Gateway-Versionen

Wenn Sie eine ältere Version als NetScaler Gateway 11.0.64.34 verwenden, gehen Sie folgendermaßen vor:

  1. Öffnen Sie den Bildschirm "Server Certificate Binding" erneut und klicken Sie auf +, um das Zertifikatschlüsselpaar zu binden.
  2. Wählen Sie das Zertifikatschlüsselpaar (s. oben) und dann "Select".
  3. Speichern Sie die Änderungen an der Serverzertifikatbindung.
  4. Nach dem Speichern wird das Zertifikatschlüsselpaar angezeigt. Klicken Sie auf "Bind".
  5. Ignorieren Sie Meldung "No usable ciphers configured on the SSL vserver/service", sofern sie angezeigt wird.

Konfigurieren der Unified Gateway-Unterstützung für Framehawk

  1. Vergewissern Sie sich, dass Unified Gateway installiert und richtig konfiguriert ist. Weitere Informationen finden Sie auf der Website mit der Citrix Produktdokumentation unter Unified Gateway
  2. Aktivieren Sie DTLS im virtuellen VPN-Server, der an den virtuellen CS-Server als virtueller Zielserver gebunden ist.

Unterstützung für andere VPN-Produkte

NetScaler Gateway ist das einzige SSL VPN-Produkt, das die von Framehawk benötigte UDP-Verschlüsselung unterstützt. Die Framehawk-Richtlinie wird möglicherweise nicht angewendet, wenn ein anderes SSL-VPN oder eine falsche Version von NetScaler Gateway verwendet wird. Konventionelle IPSec VPNs-Produkte unterstützen Framehawk, ohne dass eine Modifizierung erforderlich ist.

Konfigurieren von Citrix Receiver für iOS zur Framehawk-Unterstützung

Zum Konfigurieren von Citrix Receiver für iOS zur Framehawk-Unterstützung müssen Sie die Datei default.ica manuell bearbeiten.

  1. Öffnen Sie auf dem StoreFront-Server das App_Data-Verzeichnis im Pfad c:\inetpub\wwwroot\.
  2. Öffnen Sie die Datei default.ica und fügen Sie im Abschnitt "WFClient" die Zeile "Framehawk=On" hinzu.
  3. Speichern Sie die Änderung.

Damit können Framehawk-Sitzungen von kompatiblen Citrix Receiver-Instanzen auf iOS-Geräten hergestellt werden. Dieser Schritt ist nicht erforderlich, wenn Sie Citrix Receiver für Windows verwenden.

Überwachen von Framehawk

Sie können die Verwendung und Leistung von Framehawk über Citrix Director überwachen. Die Detailansicht für den virtuellen HDX-Kanal enthält nützliche Informationen zur Überwachung und Problembehandlung des virtuellen Framehawk-Kanals in jeder Sitzung. Zum Anzeigen von Zahlen für Framehawk wählen Sie Grafiken - Framehawk.

Wenn die Framehawk-Verbindung steht, wird auf der Detailseite Anbieter = VD3D und Verbunden = True angezeigt. Der Status "Im Leerlauf" des virtuellen Kanals ist normal, da er den Signalkanal überwacht, der nur beim ersten Handshake verwendet wird. Die Seite bietet auch andere nützliche Statistiken zu der Verbindung.

Wenn Probleme auftreten, besuchen Sie das Blog zur Problembehandlung bei Framehawk.