Quantum SD-WAN no R82: principais mudanças, issues resolvidos e o que isso destrava na prática

WiliRGasparetto — Thu, 12 Mar 2026 20:37:16 GMT

(Minha leitura objetiva com base no sk180605 — sem marketing, só impacto operacional)

Abaixo está um resumo direto do que mudou no Quantum SD-WAN (Check Point), quais pontos foram endereçados e quais designs ficam mais viáveis para arquitetura e operação — conforme documentado no sk180605.
Onde fizer sentido, eu marco explicitamente a versão mínima / Jumbo Hotfix Take.

Principais mudanças recentes e melhorias

1) Overlay VPN expandido (Multi-Domain / Global VPN Community)

Agora é possível criar Overlay VPN entre gateways gerenciados por domínios diferentes usando uma Global VPN Community em ambiente MDS a partir do R81.20 Jumbo Hotfix Take 79.
Antes, isso era possível apenas entre gateways sob o mesmo Management Server.

Impacto prático: destrava SD-WAN em organizações com governança por domínios (MDS), reduz workarounds e simplifica expansão entre domínios.

2) Suporte oficial a Policy-Based Routing (PBR)

O SD-WAN suporta configuração de PBR no Security Gateway a partir do R81.20 Jumbo Hotfix Take 79 (e segue em R82.x).
Antes, PBR não era oficialmente suportado.

Detalhe operacional crítico (prioridade / precedência):
Para garantir que uma regra de PBR tenha precedência maior que o steering do SD-WAN, a prioridade da regra PBR deve ser menor que 100. Isso é importante porque o comportamento de Breakout do SD-WAN é “PBR-like” e interage com precedência de roteamento; usar prioridade abaixo de 100 é o padrão seguro quando você precisa que a decisão do PBR “ganhe”.

3) Aumento do limite de Gateways na Star VPN Community

O limite aumentou de 250 → 400 gateways (e em builds mais novos chega a 500 em Early Availability — R82.x EA).

Impacto prático: melhora aplicabilidade em ambientes hub-and-spoke grandes, reduzindo a necessidade de segmentar comunidades por limitação.

4) Suporte a Dynamic Routing em Overlay VPN

Dynamic routing sobre Overlay VPN passa a ser oficialmente suportado a partir do R81.20 Jumbo Hotfix Take 79 (e segue em R82.x).

Impacto prático: habilita designs mais “enterprise-grade” (convergência/escala/operação), reduzindo dependência de rotas estáticas no overlay.

5) Correção do retorno simétrico para conexões inbound (Internet)

Issue resolvido: para conexões inbound da Internet, o SD-WAN consegue garantir retorno simétrico pelo mesmo link ISP a partir do R81.20 Jumbo Hotfix Take 79 (e segue em R82.x).

Impacto prático: elimina um dos modos de falha mais dolorosos em multi-ISP (sessões quebrando por assimetria de retorno), especialmente para serviços publicados e aplicações sensíveis a state/NAT.

6) DAIP (Dynamic Address IP): melhorias, mas restrições permanecem

Algumas limitações foram removidas, porém ainda existem restrições (R81.20 e R82.x) — por exemplo: apenas uma interface DAIP por gateway Gaia.

Impacto prático: destrava mais casos no edge com endereço dinâmico, mas exige cuidado em topologias com múltiplos links dinâmicos.

7) Suporte com SecureXL em Kernel Mode (KPPAK)

SD-WAN passa a ser suportado com SecureXL em Kernel Mode (KPPAK) a partir do R81.20 Jumbo Hotfix Take 96 (e segue em R82.x).

Impacto prático: reduz atrito entre SD-WAN e requisitos de performance/aceleração em ambientes que dependem de Kernel Mode.

Issues resolvidos (visão consolidada)

Overlay VPN entre domínios diferentes (via Global VPN Community em MDS) — R81.20 Take 79+ / R82.x.
Suporte oficial a PBR e dynamic routing — R81.20 Take 79+ / R82.x.
Retorno simétrico inbound — R81.20 Take 79+ / R82.x.
Aumento de escala em Star VPN — 400 (e 500 em R82.x Early Availability).
Suporte a SecureXL Kernel Mode (KPPAK) — R81.20 Take 96+ / R82.x.
Diversas limitações foram clarificadas e movidas para status/documentação oficial.

Limitações importantes que ainda permanecem

Sem suporte a VPN Implicit MEP quando apenas alguns gateways centrais usam SD-WAN (R81.20 / R82.x).
Sem suporte a Overlay VPN sobre VTI Unnumbered (R81.20 / R82.x).
Sem suporte a interfaces com Network Type “Private” (Non-Monitored) (R81.20 / R82.x).
Sem suporte a SD-WAN em VSX, Maestro ou clusters Active-Active (R81.20 / R82.x; tratado apenas em versões futuras / Early Availability conforme sk180605).
Algumas limitações de DAIP e NAT estático ainda se aplicam (R81.20 / R82.x) e precisam ser validadas caso a caso.

Possibilidades futuras (como indicado no sk)

Até 500 gateways na Star VPN Community (R82.x Early Availability).
QoS, monitoring e NAT aprimorado (capacidades anunciadas para 2025, em R82.x Early Availability).
Expansão para cloud clusters (Geo Cloud Cluster em AWS, OCI etc.).
Melhorias contínuas na integração com Infinity Portal e automação de onboarding.
Mais cobertura para padrões operacionais hybrid e multi-cloud.

Resumo visual

Mudança / Fix	Versão / Take	Observações
Overlay VPN entre domínios	R81.20 JHF Take 79	Global VPN Community (MDS)
Suporte a PBR	R81.20 JHF Take 79	Suporte oficial; PBR priority < 100 se você precisa “ganhar” do SD-WAN steering
Dynamic routing sobre Overlay VPN	R81.20 JHF Take 79	Suporte oficial
Limite Star VPN Community	400 (500 em R82.x EA)	Antes: 250
Retorno simétrico inbound	R81.20 JHF Take 79	Corrigido
SecureXL Kernel Mode (KPPAK)	R81.20 JHF Take 96	Suporte oficial
QoS / Monitoring / NAT	R82.x Early Availability	Novas capacidades para 2025

Referência

sk180605 (Quantum SD-WAN: known limitations / mudanças e status documentados)
Quantum SD-WAN Administration Guide (comportamento, configuração e validações)

topic Quantum SD-WAN no R82: principais mudanças, issues resolvidos e o que isso destrava na prática in Brazil