Wat is een MPLS-netwerk?
Een MPLS-netwerk (Multiprotocol Label Switching) stuurt gegevenspakketten door met korte labels in plaats van lange IP-adressen. Routers lezen deze labels om verkeer langs vooraf bepaalde paden te sturen, waardoor voorspelbare prestaties met ingebouwde Quality of Service worden geleverd. MPLS is al meer dan twintig jaar de ruggengraat van bedrijfs-WAN’s, maar SD-WAN neemt nu zijn plaats in voor de meeste organisaties in het middensegment van de markt.
MPLS verbindt filialen en datacenters sinds het einde van de jaren 1990. Als je in Europa een netwerk met meerdere vestigingen hebt beheerd, heb je bijna zeker te maken gehad met een MPLS-contract van Proximus, KPN, BT of Orange Business. De technologie leverde precies wat IT-teams toen nodig hadden: betrouwbare connectiviteit met lage latentie en gegarandeerde bandbreedte tussen vaste locaties.
Dat tijdperk loopt ten einde. Cloudapplicaties nemen nu het grootste deel van het ondernemingsverkeer voor hun rekening, werken op afstand is standaard en het kostenverschil tussen MPLS-circuits en zakelijk internet wordt steeds groter. Deze gids legt uit hoe MPLS werkt, waar het nog zinvol is en waarom SD-WAN de standaardkeuze is geworden voor organisaties die veilige, flexibele connectiviteit nodig hebben voor meerdere locaties.
Hoe MPLS werkt
Traditionele IP routering vereist dat elke router in de keten het bestemmingsadres inspecteert en een lookup uitvoert in zijn routeringstabel. MPLS vereenvoudigt dit door een kort label te koppelen aan elk pakket aan de rand van het netwerk.
Dit is het proces, stap voor stap:
- Een pakket komt het MPLS netwerk binnen en bereikt een Label Edge Router (LER). De LER leest het IP-adres van de bestemming, wijst het pakket toe aan een Forwarding Equivalence Class (FEC) en voegt een label toe.
- Het pakket volgt een Label Switched Path (LSP) door het netwerk van de provider. Elke tussenliggende router, een Label Switch Router (LSR) genaamd, leest alleen het label, ruilt het om voor een nieuw label en stuurt het pakket door. IP opzoeken is niet nodig.
- Op het exitpunt verwijdert de egress LER het label en levert het originele IP pakket af op de bestemming.
Zie het als een snelwegsysteem met speciale rijstroken. Zodra je auto de snelweg oprijdt bij de oprit, bepaalt een transponder (het label) op welke rijstrook je rijdt. Elk tolhuisje onderweg leest de transponder onmiddellijk in plaats van je registratiedocumenten te controleren. Je komt sneller aan omdat niemand stopt om iets op te zoeken.
MPLS bevindt zich tussen laag 2 (Ethernet) en laag 3 (IP) in de netwerkstapel. Deze “Layer 2.5” positie betekent dat het meerdere soorten verkeer kan dragen, waaronder IP, Ethernet frames en zelfs legacy protocollen.
Voor organisaties in het middensegment van de markt is de meest voorkomende MPLS-configuratie een Layer 3 VPN, waarbij de provider alle routering tussen locaties voor zijn rekening neemt. Uw kantoren lijken zich op één enkel privénetwerk te bevinden, ook al kruist het verkeer de gedeelde infrastructuur van de provider. Sommige organisaties met specifieke behoeften maken gebruik van VPLS (Virtual Private LAN Service), waarbij een Layer 2 Ethernet segment over locaties wordt uitgebreid voor volledige controle over de routering.
Wat MPLS goed doet
MPLS heeft zijn dominantie verdiend om goede redenen. Inzicht in de sterke punten helpt verklaren waarom migratiebeslissingen een zorgvuldige evaluatie vereisen in plaats van een algemene vervanging.
Gegarandeerde servicekwaliteit. MPLS ondersteunt de prioritering van verkeer via experimentele bits in de labelheader. Een VoIP-gesprek krijgt een hogere prioriteit dan een bestandsoverdracht. Voor organisaties die realtime toepassingen draaien, betekende dit een consistente gesprekskwaliteit en stabiele videoconferenties, lang voordat er cloudgebaseerde alternatieven bestonden.
Verkeerstechniek. Netwerkbeheerders kunnen precies bepalen welk pad het verkeer door de backbone van de provider neemt. Als de kortste route overbelast is, kan het verkeer worden omgeleid naar een alternatief pad met beschikbare capaciteit. Dit controleniveau is moeilijk te bereiken op het openbare internet.
Voorspelbare prestaties. Omdat MPLS over de private backbone van de provider loopt, vermijdt het de congestie en variabele latentie van het publieke internet. Pakketverlies is minimaal. Jitter blijft binnen nauwe toleranties. Voor toepassingen die geen schommelingen kunnen verdragen, zoals hoogfrequente handel of real-time telemetrie, is dit belangrijk.
Strikte SLA’s. Europese carriers zoals Proximus, KPN en BT bieden MPLS-contracten met financieel ondersteunde uptimegaranties, gedefinieerde latentieplafonds en compensatieclausules voor het niet halen van doelstellingen. Standaard breedbandverbindingen hebben hooguit best-effort voorwaarden.
| Kracht | Wat het in de praktijk betekent |
|---|---|
| QoS-prioritering | VoIP en video krijgen speciale bandbreedte, zelfs tijdens piekuren |
| Verkeerstechniek | Beheerders controleren exacte paden door de backbone van de carrier |
| Private backbone | Verkeer komt nooit op het openbare internet |
| Harde SLA’s | Contractuele prestatiegaranties met financiële sancties |
| Flexibiliteit van protocollen | Draagt IP-, Ethernet- en oudere protocollen over één infrastructuur |
Waar MPLS tekortschiet in 2026
De wereld waarvoor MPLS is ontworpen, bestaat niet meer. Toepassingen zijn verhuisd naar de cloud. Gebruikers werken overal vandaan. En de economie is ingrijpend veranderd.
Kosten. MPLS-circuits in West-Europa kosten meestal tussen €1.100 en €1.300 per maand voor een 1 Gbps-verbinding. Een vergelijkbare Dedicated Internet Access (DIA)-lijn kost €700 tot €900. Zakelijk breedband met een vergelijkbare doorvoer kost een fractie daarvan. Voor organisaties met vijf of tien vestigingen is het jaarlijkse verschil aanzienlijk. Oudere MPLS-lijnen op basis van koper kunnen tot 14 keer meer kosten per Mbps dan moderne glasvezelverbindingen.
Het cloud backhaul probleem. De meeste organisaties in het middensegment van de markt sturen 50% of meer van hun verkeer naar SaaS-platforms zoals Microsoft 365, Salesforce of cloud-hosted ERP-systemen. In een klassieke hub-and-spoke MPLS-opstelling moet dat verkeer van het filiaal naar het centrale datacenter, geïnspecteerd worden door de centrale firewall en vervolgens het internet op. Deze omweg, backhauling of hairpinning genoemd, voegt onnodige latentie toe, verspilt dure MPLS bandbreedte aan eenvoudig internetverkeer en creëert knelpunten aan de centrale gateway. Een werknemer in Gent die toegang heeft tot een Microsoft 365-server in Amsterdam moet zijn verkeer eerst door Brussel routeren. Dat voegt 80 tot 120 ms latentie toe zonder veiligheidsvoordeel.
Implementatiesnelheid. Een nieuwe locatie toevoegen aan een MPLS-netwerk betekent een carrier circuit bestellen. In Europa zijn levertijden van vier tot twaalf weken normaal. Tijdelijke locaties, pop-up kantoren of overnames die onmiddellijke connectiviteit nodig hebben, kunnen gewoonweg niet zo lang wachten. SD-WAN kan een locatie binnen enkele uren online brengen met behulp van elke beschikbare internetverbinding of 4G/5G-modem.
Geen native versleuteling. MPLS zelf versleutelt het verkeer niet. Het vertrouwt op de aanname dat de backbone van de provider privé en dus vertrouwd is. Als je compliance-raamwerk versleuteling van gegevens in doorvoer vereist, wat NIS2 en GDPR steeds meer vereisen, moet je IPsec of TLS toevoegen bovenop MPLS. Dat is nog een laag complexiteit en kosten.
Verkoper-lock-in. MPLS-contracten hebben meestal een looptijd van drie tot vijf jaar met aanzienlijke boetes voor vroegtijdige beëindiging. Overstappen naar een andere provider betekent dat je volledig nieuwe circuits moet bestellen en het netwerk vanaf nul moet migreren. Dit creëert een afhankelijkheid die uw onderhandelingspositie beperkt en uw vermogen om in te spelen op veranderende bedrijfsbehoeften.
Waarom SD-WAN MPLS vervangt
De wereldwijde verschuiving is onmiskenbaar. Volgens gegevens van TeleGeography was MPLS in 2018 aanwezig op 82% van de WAN-sites van bedrijven. In 2024 was dat aantal gedaald tot 41%, waarbij internetverbindingen (DIA en breedband) met 49% het grootste deel voor hun rekening namen. Volgens de prognoses zal MPLS in 2030 minder dan 20% bedragen, terwijl de SD-WAN-markt naar verwachting zal groeien van ongeveer USD 8,8 miljard in 2024 tot USD 42 miljard in 2030.
SD-WAN vervangt de rigide, labelgebaseerde routering van MPLS door softwaregestuurde routering die zich in realtime aanpast.
Toepassingsbewuste routering. Waar MPLS verkeer prioriteert aan de hand van statische labels, herkent SD-WAN de toepassing zelf. Een Zoom-gesprek, een SharePoint-sync en een firmware-download worden elk gerouteerd over de meest geschikte link op basis van de huidige omstandigheden. Als de primaire glasvezelverbinding verslechtert, verschuift kritisch verkeer naar een 4G back-up zonder dat iemand het merkt.
Elk transport, elke verbinding. SD-WAN loopt versleutelde overlay tunnels over welke internetverbinding er ook beschikbaar is: glasvezel, kabel, breedband, 4G, 5G of een mix. Je bent niet langer gebonden aan de backbone van één carrier. Deze flexibiliteit betekent ook dat nieuwe sites sneller en tegen een fractie van de kosten online komen.
Directe toegang tot de cloud. In plaats van al het verkeer via een centraal datacenter te backhaulen, stuurt SD-WAN cloud-gebonden verkeer rechtstreeks naar het dichtstbijzijnde internet breakout point. Microsoft 365-verkeer vanuit Gent gaat rechtstreeks naar het datacenter in Amsterdam. Latency daalt. De gebruikerservaring verbetert. De centrale gateway is niet langer een bottleneck.
Ingebouwde encryptie. SD-WAN-tunnels worden standaard versleuteld met AES-256 of gelijkwaardig. In tegenstelling tot MPLS hebt u geen aparte encryptielaag nodig om te voldoen aan de compliancevereisten.
De SASE-dimensie. Standalone SD-WAN lost het connectiviteitsprobleem op, maar niet de beveiliging. Dit is waar de verschuiving van SD-WAN naar SASE (Secure Access Service Edge) relevant wordt. Een SASE-platform zoals Jimber integreert SD-WAN met Zero Trust Network Access, Secure Web Gateway en Firewall-as-a-Service in één enkele, door de cloud beheerde console. Je vervangt niet alleen MPLS, maar ook de bijbehorende firewalls, VPN-concentrators en webgateways. Voor organisaties in het middensegment van de markt die vijf tot vijftien vestigingen beheren met een klein IT-team, elimineert deze consolidatie het Frankenstack-probleem van jongleren met afzonderlijke tools die geen gegevens delen.
Gartner schat dat tegen 2026 60% van de nieuwe SD-WAN-aankopen deel zal uitmaken van een SASE-aanbod van één leverancier. De trend is duidelijk: SD-WAN zonder geïntegreerde beveiliging wordt de uitzondering, niet de regel. De SASE-architectuur van Jimber is gebouwd rond dit principe, waarbij connectiviteit en beveiliging worden gecombineerd in één beleidskader, zodat routeringsbeslissingen en beveiligingshandhaving op hetzelfde punt plaatsvinden.
| Factor | MPLS | SD-WAN (binnen SASE) |
|---|---|---|
| Maandelijkse kosten (1 Gbps, West-Europa) | €1,100 – €1,300 | €400 – €800 (internet + platform) |
| Uitrol nieuwe site | 4-12 weken | Uren tot dagen |
| Afhandeling van cloudverkeer | Backhauled via centraal DC | Directe lokale breakout |
| Codering | Niet inbegrepen, overlay vereist | Standaard ingebouwd |
| Beveiligingsintegratie | Afzonderlijke apparaten vereist | Geïntegreerd (ZTNA, SWG, FWaaS) |
| Beheer | Provider-afhankelijk, beperkte zichtbaarheid | Eén cloudconsole |
| Flexibele contracten | 3-5 jaar lock-in | Maandelijks of jaarlijks, transportagnostisch |
Voor organisaties die VPN-architecturen naast MPLS gebruiken, maakt de overstap naar SASE in één keer een einde aan beide oude afhankelijkheden. Het SD-WAN van Jimber verbindt sites veilig via standaard internetverbindingen, terwijl ZTNA het VPN voor externe toegang vervangt. Eén platform, één console, één beleidsmodel.
Is MPLS helemaal dood?
Nee. En beweren dat het wel zo is, zou oneerlijk zijn.
MPLS heeft nog steeds een rol in specifieke scenario’s. Hoogfrequente handelsdesks hebben latentiegaranties van submilliseconden nodig die het openbare internet niet betrouwbaar kan bieden. Sommige legacy-applicaties met hard-gecodeerde netwerkafhankelijkheden zijn duur om opnieuw te ontwerpen. Gereguleerde omgevingen zoals SWIFT messaging in de financiële dienstverlening vereisen soms private circuits als onderdeel van hun compliance framework. Een Belgisch vermogensbeheerbedrijf dat migreerde naar Jimbers SASE-platform behield een specifiek MPLS-circuit voor SWIFT-verkeer en verplaatste al het andere naar SD-WAN.
In regio’s waar de internetinfrastructuur onbetrouwbaar is, biedt MPLS een basisstabiliteit die SD-WAN niet volledig kan evenaren. Delen van landelijk Europa en sommige Afrikaanse markten profiteren nog steeds van MPLS voor bedrijfskritische verbindingen.
Maar voor de overgrote meerderheid van organisaties in het middensegment van de Benelux en West-Europa is de vergelijking gemaakt. Het gebruik van glasvezel is hoog. De internetkwaliteit is uitstekend. De prestatiekloof tussen MPLS en business-grade DIA is verwaarloosbaar klein voor standaard zakelijke workloads. Het kostenverschil blijft echter groeien.
De praktische aanpak voor de meeste organisaties is een gefaseerde migratie. Begin met locaties waar MPLS-contracten aflopen. Implementeer SD-WAN op standaard internetverbindingen. Valideer de prestaties. Breid vervolgens uit naar de resterende locaties. Een big-bang vervanging van alle circuits in één keer brengt onnodige risico’s met zich mee. De SD-WAN-gids van Jimber behandelt het implementatieproces in detail, inclusief hoe MPLS en SD-WAN parallel kunnen worden uitgevoerd tijdens de overgang.
Voor een volledige vergelijking van hoe SASE, SSE en SD-WAN zich tot elkaar verhouden en welke aanpak past bij uw specifieke situatie, wordt in deze gids het beslissingskader uitgesplitst.
Wat is het verschil tussen MPLS en SD-WAN?
MPLS stuurt pakketten door met labels langs vaste paden door de private backbone van een carrier. SD-WAN gebruikt software om verkeer dynamisch te routeren over elke beschikbare internetverbinding op basis van real-time prestaties. MPLS vereist carrier-specifieke circuits en langetermijncontracten. SD-WAN werkt op gewone breedband-, glasvezel- of mobiele verbindingen van om het even welke provider.
Is MPLS veiliger dan SD-WAN?
Niet inherent. MPLS-verkeer wordt geïsoleerd op de backbone van de provider, maar niet versleuteld. SD-WAN versleutelt al het verkeer standaard met behulp van AES-256-tunnels. Binnen een SASE-raamwerk voegt SD-WAN Zero Trust-toegangscontroles, webfiltering en firewallbeleid toe bovenop de versleuteling, waardoor een completere beveiliging wordt geboden dan met MPLS alleen.
Hoeveel kost MPLS in vergelijking met SD-WAN?
In West-Europa kost een MPLS-circuit van 1 Gbps doorgaans €1.100 tot €1.300 per maand. Gelijkwaardige SD-WAN-connectiviteit via Dedicated Internet Access kost €700 tot €900, en zakelijk breedband kost aanzienlijk minder. Organisaties die migreren van MPLS naar SD-WAN rapporteren doorgaans 30 tot 60% besparingen op netwerkkosten.
Kan SD-WAN MPLS volledig vervangen?
Voor de meeste organisaties in het middensegment van de markt met standaard enterprise workloads, ja. SD-WAN evenaart of overtreft MPLS-prestaties voor cloudapplicaties, VoIP en video. Uitzonderingen zijn ultralaag-latency use cases zoals handelsplatformen en specifieke gereguleerde flows zoals SWIFT messaging. De meeste organisaties kiezen voor een hybride aanpak tijdens de overgang, waarbij MPLS voor bepaalde links wordt behouden terwijl het grootste deel van het verkeer naar SD-WAN wordt gemigreerd.
Waar staat MPLS voor?
MPLS staat voor Multiprotocol Label Switching. “Multiprotocol” verwijst naar de mogelijkheid om verschillende soorten netwerkverkeer te transporteren (IP, Ethernet, oude protocollen). “Label Switching” beschrijft het doorstuurmechanisme: routers lezen korte labels in plaats van volledige IP-adreszoekopdrachten uit te voeren.
Hoe lang duurt het om te migreren van MPLS naar SD-WAN?
Een typische migratie in het middensegment van de markt duurt 3 tot 12 maanden, afhankelijk van het aantal sites en contractverplichtingen. Individuele sites kunnen binnen enkele uren live gaan op SD-WAN met behulp van zero-touch provisioning. De totale tijdlijn wordt meestal bepaald door de vervaldata van MPLS-contracten en niet zozeer door de technische complexiteit.
Klaar om verder te gaan dan MPLS? Het SASE-platform van Jimber combineert SD-WAN, Zero Trust Network Access, Secure Web Gateway en Firewall-as-a-Service in één door de cloud beheerde console die is ontworpen voor Europese organisaties in het middensegment van de markt. Boek een demo om je huidige netwerk in kaart te brengen en een migratiepad te ontwerpen dat past bij de capaciteit en tijdlijn van je team.
