This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
ABOUT CHECKMATES CYBER SECURITY COMMUNITY & FAQ
Create a Post
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Are you a member of CheckMates?

×
Sign in with your Check Point UserCenter/PartnerMap account to access more great content and get a chance to win some Apple AirPods! If you don't have an account, create one now for free!
WiliRGasparetto
MVP Diamond
MVP Diamond
‎2026-03-12 01:37 PM

Quantum SD-WAN no R82: principais mudanças, issues resolvidos e o que isso destrava na prática

(Minha leitura objetiva com base no sk180605 — sem marketing, só impacto operacional)

Abaixo está um resumo direto do que mudou no Quantum SD-WAN (Check Point), quais pontos foram endereçados e quais designs ficam mais viáveis para arquitetura e operação — conforme documentado no sk180605.
Onde fizer sentido, eu marco explicitamente a versão mínima / Jumbo Hotfix Take.

Principais mudanças recentes e melhorias

1) Overlay VPN expandido (Multi-Domain / Global VPN Community)

  • Agora é possível criar Overlay VPN entre gateways gerenciados por domínios diferentes usando uma Global VPN Community em ambiente MDS a partir do R81.20 Jumbo Hotfix Take 79.

  • Antes, isso era possível apenas entre gateways sob o mesmo Management Server.

Impacto prático: destrava SD-WAN em organizações com governança por domínios (MDS), reduz workarounds e simplifica expansão entre domínios.

 

2) Suporte oficial a Policy-Based Routing (PBR)

  • O SD-WAN suporta configuração de PBR no Security Gateway a partir do R81.20 Jumbo Hotfix Take 79 (e segue em R82.x).

  • Antes, PBR não era oficialmente suportado.

Detalhe operacional crítico (prioridade / precedência):
Para garantir que uma regra de PBR tenha precedência maior que o steering do SD-WAN, a prioridade da regra PBR deve ser menor que 100. Isso é importante porque o comportamento de Breakout do SD-WAN é “PBR-like” e interage com precedência de roteamento; usar prioridade abaixo de 100 é o padrão seguro quando você precisa que a decisão do PBR “ganhe”.

 

3) Aumento do limite de Gateways na Star VPN Community

  • O limite aumentou de 250 → 400 gateways (e em builds mais novos chega a 500 em Early Availability — R82.x EA).

Impacto prático: melhora aplicabilidade em ambientes hub-and-spoke grandes, reduzindo a necessidade de segmentar comunidades por limitação.

 

4) Suporte a Dynamic Routing em Overlay VPN

  • Dynamic routing sobre Overlay VPN passa a ser oficialmente suportado a partir do R81.20 Jumbo Hotfix Take 79 (e segue em R82.x).

Impacto prático: habilita designs mais “enterprise-grade” (convergência/escala/operação), reduzindo dependência de rotas estáticas no overlay.

 

5) Correção do retorno simétrico para conexões inbound (Internet)

  • Issue resolvido: para conexões inbound da Internet, o SD-WAN consegue garantir retorno simétrico pelo mesmo link ISP a partir do R81.20 Jumbo Hotfix Take 79 (e segue em R82.x).

Impacto prático: elimina um dos modos de falha mais dolorosos em multi-ISP (sessões quebrando por assimetria de retorno), especialmente para serviços publicados e aplicações sensíveis a state/NAT.

 

6) DAIP (Dynamic Address IP): melhorias, mas restrições permanecem

  • Algumas limitações foram removidas, porém ainda existem restrições (R81.20 e R82.x) — por exemplo: apenas uma interface DAIP por gateway Gaia.

Impacto prático: destrava mais casos no edge com endereço dinâmico, mas exige cuidado em topologias com múltiplos links dinâmicos.

 

7) Suporte com SecureXL em Kernel Mode (KPPAK)

  • SD-WAN passa a ser suportado com SecureXL em Kernel Mode (KPPAK) a partir do R81.20 Jumbo Hotfix Take 96 (e segue em R82.x).

Impacto prático: reduz atrito entre SD-WAN e requisitos de performance/aceleração em ambientes que dependem de Kernel Mode.

 

Issues resolvidos (visão consolidada)

  • Overlay VPN entre domínios diferentes (via Global VPN Community em MDS) — R81.20 Take 79+ / R82.x.

  • Suporte oficial a PBR e dynamic routingR81.20 Take 79+ / R82.x.

  • Retorno simétrico inboundR81.20 Take 79+ / R82.x.

  • Aumento de escala em Star VPN400 (e 500 em R82.x Early Availability).

  • Suporte a SecureXL Kernel Mode (KPPAK)R81.20 Take 96+ / R82.x.

  • Diversas limitações foram clarificadas e movidas para status/documentação oficial.

 

Limitações importantes que ainda permanecem

  • Sem suporte a VPN Implicit MEP quando apenas alguns gateways centrais usam SD-WAN (R81.20 / R82.x).

  • Sem suporte a Overlay VPN sobre VTI Unnumbered (R81.20 / R82.x).

  • Sem suporte a interfaces com Network Type “Private” (Non-Monitored) (R81.20 / R82.x).

  • Sem suporte a SD-WAN em VSX, Maestro ou clusters Active-Active (R81.20 / R82.x; tratado apenas em versões futuras / Early Availability conforme sk180605).

  • Algumas limitações de DAIP e NAT estático ainda se aplicam (R81.20 / R82.x) e precisam ser validadas caso a caso.

 

Possibilidades futuras (como indicado no sk)

  • Até 500 gateways na Star VPN Community (R82.x Early Availability).

  • QoS, monitoring e NAT aprimorado (capacidades anunciadas para 2025, em R82.x Early Availability).

  • Expansão para cloud clusters (Geo Cloud Cluster em AWS, OCI etc.).

  • Melhorias contínuas na integração com Infinity Portal e automação de onboarding.

  • Mais cobertura para padrões operacionais hybrid e multi-cloud.

Resumo visual

Mudança / Fix Versão / Take Observações
Overlay VPN entre domínios R81.20 JHF Take 79 Global VPN Community (MDS)
Suporte a PBR R81.20 JHF Take 79 Suporte oficial; PBR priority < 100 se você precisa “ganhar” do SD-WAN steering
Dynamic routing sobre Overlay VPN R81.20 JHF Take 79 Suporte oficial
Limite Star VPN Community 400 (500 em R82.x EA) Antes: 250
Retorno simétrico inbound R81.20 JHF Take 79 Corrigido
SecureXL Kernel Mode (KPPAK) R81.20 JHF Take 96 Suporte oficial
QoS / Monitoring / NAT R82.x Early Availability Novas capacidades para 2025

 

Referência

  • sk180605 (Quantum SD-WAN: known limitations / mudanças e status documentados)

  • Quantum SD-WAN Administration Guide (comportamento, configuração e validações)

0 Replies
Upcoming Events

    Sort by:
    CheckMates Events