Wat is het verschil tussen SD-WAN en MPLS?
MPLS routeert verkeer via de private backbone van een provider met behulp van label-switched paden, waarbij gegarandeerde bandbreedte en lage jitter worden geleverd. SD-WAN creëert een versleutelde software-overlay over elk beschikbaar transport, inclusief breedband, dedicated internet en 4G/5G, waarbij het verkeer dynamisch wordt gerouteerd op basis van toepassingsprioriteit en realtime verbindingsvoorwaarden. SD-WAN kost doorgaans 30 tot 50 procent minder dan MPLS voor organisaties met meerdere vestigingen en voegt ingebouwde versleuteling toe die MPLS ontbeert.
MPLS heeft Europese organisaties in het middensegment van de markt twee decennia lang goede diensten bewezen. Toegewijde circuits, voorspelbare latentie, carrier-ondersteunde SLA’s. Voor interne client-server toepassingen tussen een handvol kantoren was het de juiste oplossing.
Die omgeving bestaat niet meer voor de meeste organisaties. Het verkeer gaat nu naar SaaS-platforms, cloudinfrastructuur en externe medewerkers verspreid over locaties die nooit een MPLS-circuit hebben gehad. Het backhaulen van dat verkeer door een centraal datacenter voordat het het internet bereikt, brengt extra kosten en latentie met zich mee zonder de beveiliging te verbeteren.
Deze gids vergelijkt MPLS en SD-WAN op de drie dimensies die het belangrijkst zijn voor IT-managers die een migratie evalueren: kosten, prestaties en beveiliging. Er wordt ook uitgelegd waarom de echte vergelijking in 2026 niet SD-WAN versus MPLS is, maar SASE versus de legacy stack die MPLS verankert.
SD-WAN vs MPLS in een oogopslag
De tabel hieronder vergelijkt MPLS, standalone SD-WAN en SD-WAN geleverd als onderdeel van een SASE-platform. De derde kolom is van belang omdat de meeste nieuwe SD-WAN-implementaties in 2026 gebundeld zijn met beveiligingsdiensten. Gartner schat dat 60 procent van de nieuwe SD-WAN-aankopen deel zal uitmaken van een SASE-aanbod van één leverancier.
| Criterium | MPLS | SD-WAN (standalone) | SD-WAN in SASE |
|---|---|---|---|
| Kosten per site (100 Mbps) | Hoog. Prijzen voor privécircuits, gemiddeld 7x breedband in Europa | Laag. Werkt over standaard breedband of DIA | Laag. Gebundeld met beveiliging, vervangt firewall en VPN-uitgaven |
| Inzetsnelheid | 4-12 weken per site (circuit provisioning) | Dagen. Scheepstoestel, zero-touch levering | Dagen. Cloud-managed, geen aparte beveiligingsstack te configureren |
| QoS-garantie | Carrier-ondersteunde SLA met financiële boetes | Toepassingsbewuste routering met FEC en pakketduplicatie | Hetzelfde als standalone, plus prioritering op basis van beleid |
| Encryptie | Standaard geen. Verkeer vindt plaats in duidelijke tekst | AES-256 versleutelde tunnels | AES-256 plus inline inspectie en dreigingsblokkering |
| Cloud compatibiliteit | Slecht. Backhaul naar datacenter nodig | Goed. Lokaal internet per locatie | Native. Direct naar cloud met beveiliging toegepast aan de rand |
| Schaalbaarheid | Langzaam. Elke site heeft een nieuw circuit nodig | Snel. Elke internetverbinding werkt | Snel. Beveiligingsbeleid schaalt automatisch mee met nieuwe sites |
| Beheer | Per circuit, per carrier. Meerdere contracten | Gecentraliseerde controller, enkele overlay | Eén console voor netwerk- en beveiligingsbeleid |
Voor een diepere kijk op hoe SD-WAN-technologie onder de motorkap werkt, gaat onze volledige SD-WAN-gids in op architectuur, verkeerssturing en implementatiemodellen.
Kosten: waarom MPLS het budgetargument aan het verliezen is
Het prijsverschil tussen MPLS en internetgebaseerde connectiviteit varieert aanzienlijk in Europa. Uit onderzoek van TeleGeography blijkt dat de mediane prijzen voor MPLS-poorten van 100 Mbps ongeveer zeven keer hoger liggen dan gelijkwaardig zakelijk breedband. In concurrerende glasvezelmarkten zoals Rome, wordt het verschil kleiner tot ongeveer drie keer. In steden met minder infrastructuurconcurrentie kan MPLS meer dan 20 keer het breedbandequivalent kosten.
Voor een organisatie in het middensegment met 10 vestigingen vertellen de totale eigendomskosten over drie jaar duidelijk het verhaal.
| Kostencomponent (TCO over 3 jaar) | MPLS (beheerd) | SD-WAN (hybride internet) |
|---|---|---|
| Connectiviteit (onderlaag) | ~€450,000 | ~€180,000 |
| Hardware en apparaten | ~€25,000 | ~€50,000 |
| Softwarelicenties | Inbegrepen in de service | ~€60,000 |
| Beheer en activiteiten | ~€40,000 | ~€20.000 (gecentraliseerd) |
| Totaal | ~€515,000 | ~€310,000 |
Dat is een reductie van 40 procent voordat rekening wordt gehouden met de kosten van afzonderlijke firewalls, VPN-concentrators en webgateways die MPLS-organisaties nog steeds op elke locatie nodig hebben. Wanneer SD-WAN wordt geleverd binnen een SASE-platform, verdwijnen deze puntproducten volledig uit het budget. Het transparante prijsmodel van Jimber bundelt netwerken en beveiliging in één voorspelbare kostprijs per gebruiker, waardoor de verborgen kosten die legacy-architecturen duur maken om te onderhouden, wegvallen. Lees voor meer informatie over waarom gefragmenteerde beveiligingsstacks de kosten opdrijven over de werkelijke kosten van downtime.
Een nuance die het vermelden waard is: organisaties die managed SD-WAN via één provider kopen, betalen vaak een aggregatoropslag van 20 procent op de onderliggende internetcircuits. Die toeslag dekt de multi-ISP-coördinatie, geconsolideerde facturering en carrierbeheer. Voor kleine IT-teams is dat meestal de moeite waard. Het totaal ligt nog steeds een stuk onder MPLS.
Prestaties: wanneer gegarandeerde QoS nog steeds belangrijk is
MPLS levert iets wat het openbare internet niet kan: deterministische prestaties ondersteund door financiële SLA’s. Latency onder 10 ms, jitter onder 2 ms, pakketverlies onder 0,1 procent. Voor de juiste workloads heeft die garantie nog steeds waarde.
De vraag is hoeveel werklasten dit daadwerkelijk nodig hebben.
| Metrisch | MPLS (privé) | SD-WAN over DIA | SD-WAN over breedband |
|---|---|---|---|
| Typische latentie | < 10 ms | < 25 ms | 30-80 ms |
| Typische jitter | < 2 ms | < 5 ms | 5-20 ms |
| Pakketverlies | < 0.1% | < 0.5% | 1-5% |
| SLA-garantie | Financiële ondersteuning | Financiële ondersteuning | Beste inspanning |
Voor financiële handelsplatformen of gespecialiseerde medische beeldvormingssystemen die jitter van minder dan 2 ms nodig hebben, blijft MPLS het betere transport. Maar die workloads vertegenwoordigen een kleine fractie van het verkeer in het middensegment van de markt. Microsoft Teams, Zoom, Salesforce, cloud-hosted ERP. Voor deze toepassingen is SD-WAN over een dedicated internettoegangslink van goede kwaliteit voor de eindgebruiker niet te onderscheiden van MPLS.
SD-WAN compenseert voor internetvariabiliteit door verschillende zelfherstellende mechanismen. Forward Error Correction stuurt pariteitspakketten waarmee het ontvangende uiteinde verloren gegevens kan reconstrueren zonder heruitzending. Pakketduplicatie stuurt identiek verkeer gelijktijdig over twee links, een techniek die vaak wordt toegepast op missiekritische spraakoproepen. Toepassingsbewuste routering meet continu de linkkwaliteit en stuurt verkeer in realtime naar het best presterende pad.
Er is ook een betrouwbaarheidsargument dat in het voordeel van SD-WAN pleit. MPLS is een single-carrier oplossing. Als de backbone van de provider uitvalt, gaat de site op zwart. De multitransportaanpak van SD-WAN, waarbij glasvezel van de ene ISP wordt gecombineerd met 4G/5G van een andere ISP, levert een hogere totale beschikbaarheid dan een enkel MPLS-circuit.
Beveiliging: de kloof die MPLS niet dicht
MPLS is privé. Het is niet gecodeerd. Verkeer op een MPLS circuit verloopt meestal in duidelijke tekst. De aanname is dat omdat het circuit geïsoleerd is van het publieke internet, versleuteling niet nodig is. Die aanname gaat in de war zodra een aanvaller toegang krijgt tot de kerninfrastructuur van de provider of de local loop compromitteert.
SD-WAN versleutelt al het verkeer standaard met AES-256 tunnels, ongeacht of de underlay een privécircuit of openbaar breedband is. Dat alleen al dicht een aanzienlijke kloof. Maar versleuteling is slechts het beginpunt.
Standalone SD-WAN versleutelt het verkeer tussen sites. Het inspecteert dat verkeer niet op bedreigingen. Het dwingt geen toegangsbeleid af op basis van de identiteit van de gebruiker. Het voorkomt geen zijwaartse beweging als een aanvaller een bijkantoor binnendringt.
Dit is waar het onderscheid tussen standalone SD-WAN en SD-WAN binnen een SASE framework cruciaal wordt. Een SASE-geïntegreerd SD-WAN voegt Firewall-as-a-Service toe voor deep packet inspection, een Secure Web Gateway voor het blokkeren van webbedreigingen en Zero Trust Network Access die elke gebruiker alleen toegang verleent tot de specifieke toepassingen die zijn rol vereist. Een gecompromitteerd apparaat op de ene locatie kan het netwerk niet scannen of systemen op een andere locatie bereiken, omdat het netwerk onzichtbaar is voor het apparaat. Voor een gedetailleerde uitleg over waarom VPN-architecturen niet werken voor moderne teams, lees je in dit artikel over de beperkingen van de architectuur.
Het SASE-platform van Jimber levert SD-WAN met al deze ingebouwde beveiligingslagen. Encryptie, inspectie, identiteitsgebaseerde toegang en controles van de apparaatstatus werken vanuit één console met uniform beleid. Er is geen aparte firewallappliance die op elke site moet worden geconfigureerd, geen standalone VPN-concentrator, geen losgekoppelde webgateway. Voor organisaties die ook agentless apparaten gebruiken, zoals printers, IoT-sensoren of industriële machines, breidt NIAC-hardware datzelfde Zero Trust-model uit naar apparatuur die geen softwareagent kan draaien.
Waarom SD-WAN in SASE meer vervangt dan alleen MPLS
De echte besparingen bij het overstappen op MPLS zitten niet alleen in de circuitkosten. Ze komen van het elimineren van de hele legacy stack die er omheen zit.
Een typische MPLS-gebaseerde architectuur omvat dedicated circuits op elke site, een firewall appliance op elke site, een VPN-concentrator in het datacenter, een aparte webfilteroplossing en vaak een standalone SD-WAN overlay bovenop. Elk onderdeel heeft zijn eigen beheerconsole, zijn eigen licentiemodel en zijn eigen leveranciersrelatie. Jimber-klanten noemen dit de “Frankenstack”. Lees meer over ontsnappen aan de Frankenstack en hoe consolidatie er in de praktijk uitziet.
SD-WAN binnen een SASE-platform vervangt die hele verzameling. Jimber verenigt SD-WAN, Zero Trust Network Access, Secure Web Gateway en Firewall-as-a-Service in één cloud-beheerd platform. Beleidsregels worden eenmalig gedefinieerd en afgedwongen voor alle gebruikers, apparaten en locaties. Nieuwe locaties worden in dagen aangesloten, niet in maanden. De operationele overhead daalt omdat er één console, één policy engine en één leverancier is.
Voor organisaties die evalueren hoe de componenten op elkaar aansluiten, geeft de SASE architectuurgids uitleg over de gegevensstroom, implementatiemodellen en waar elke beveiligingsfunctie van toepassing is. De vergelijking tussen SASE, SSE en SD-WAN maakt duidelijk welke aanpak past bij welk organisatieprofiel.
Deze consolidatie vereenvoudigt ook de naleving van NIS2. De richtlijn vereist gedocumenteerd risicobeheer, toegangscontroles, incidentrapportage binnen 24 uur en beveiligingsbeoordelingen van de toeleveringsketen. Een uniform platform met gecentraliseerde logging, versiebeheer van beleidsregels en audit trails levert het bewijs dat inspecteurs verwachten. Afzonderlijke apparaten verspreid over locaties maken het verzamelen van bewijs traag en onvolledig.
Hoe migreren van MPLS naar SD-WAN?
Migratie is geen kwestie van een schakelaar omzetten. Verwacht voor een organisatie met 10 vestigingen een tijdlijn van 4 tot 6 maanden met een gefaseerde aanpak die verstoring van het bedrijf voorkomt.
Stap 1: huidige circuits en toepassingen controleren
Documenteer elk MPLS-circuit, de einddatum van het contract, de bandbreedte en welke applicaties ervan afhankelijk zijn. Breng de afhankelijkheden van applicaties in kaart om te begrijpen welk verkeer gevoelig is voor latency en welk niet. Deze inventarisatie stuurt elke beslissing die volgt.
Stap 2: huidige prestaties vergelijken
Meet latency, jitter en pakketverlies op bestaande MPLS-links. Deze cijfers worden de benchmark waarmee u de SD-WAN-prestaties evalueert tijdens de parallelle run. Zonder een basislijn kunt u niet objectief beoordelen of de nieuwe oplossing aan de vereisten voldoet.
Stap 3: SD-WAN implementeren naast MPLS
Installeer SD-WAN-randapparaten op elke locatie terwijl MPLS-circuits actief blijven. Het door de cloud beheerde platform van Jimber ondersteunt zero-touch provisioning, zodat apparaten die naar een extern kantoor worden verzonden hun configuratie automatisch ophalen zodra ze verbinding maken met internet. Er hoeft geen technicus naar de site te reizen.
Stap 4: internetverbinding bestellen
Zorg voor speciale internettoegang of zakelijk breedband van hoge kwaliteit op elke locatie. De doorlooptijd van glasvezel kan in Europa nog steeds 60 tot 90 dagen zijn, dus begin vroeg met deze stap. 4G/5G kan dienen als interim- of back-upconnectiviteit waar glasvezel nog niet beschikbaar is.
Stap 5: eerst niet-kritisch verkeer ontladen
Routeer surfen op het web, SaaS-toepassingen en Wi-Fi voor gasten via de SD-WAN overlay terwijl ERP, VoIP en andere gevoelige toepassingen op MPLS blijven. Controleer de prestaties ten opzichte van de baseline.
Stap 6: volledige omschakeling
Zodra internetgebaseerde paden stabiel blijken en aan de prestatiedrempels voldoen, migreert u het resterende verkeer naar de SD-WAN overlay. Behoud MPLS als fallback gedurende 30 tot 60 dagen voordat u het buiten gebruik stelt.
Stap 7: optimaliseren en uitbreiden
SD-WAN-analyses gebruiken om het QoS-beleid nauwkeurig af te stemmen op basis van werkelijke gebruikspatronen. Verbind extra sites, externe werknemers en cloud-omgevingen. Met Jimber duurt het toevoegen van een nieuwe site dagen in plaats van de weken die nodig zijn voor het aanbieden van MPLS-circuits.
Voor organisaties die al met multi-cloudomgevingen werken, behandelt de SASE voor multi-cloud gids hoe SD-WAN binnen SASE omgaat met het routeren van verkeer tussen AWS, Azure en on-premises infrastructuur.
Veelgestelde vragen
Kan SD-WAN MPLS volledig vervangen?
Voor de overgrote meerderheid van organisaties in het middensegment van de markt wel. SD-WAN via speciale internettoegang levert prestaties die niet te onderscheiden zijn van MPLS voor standaard bedrijfstoepassingen zoals spraak en video. De uitzonderingen zijn niche-workloads die sub-2 ms jitter vereisen met financiële SLA-ondersteuning, zoals hoogfrequente handel of realtime industriële besturingssystemen. Zelfs in die gevallen kan SD-WAN werken naast een enkele MPLS-link voor het specifieke verkeer dat het nodig heeft.
Is SD-WAN goedkoper dan MPLS?
Consequent, ja. Europese organisaties die migreren van MPLS naar SD-WAN melden TCO-verlagingen van 30 tot 50 procent op connectiviteit alleen. Wanneer SD-WAN wordt geleverd binnen een SASE-platform zoals Jimber, nemen de besparingen verder toe omdat de afzonderlijke kosten voor firewall, VPN en webgateway verdwijnen.
Biedt SD-WAN dezelfde QoS als MPLS?
Niet op dezelfde manier. MPLS garandeert QoS via specifieke bandbreedte op een private backbone. SD-WAN bereikt vergelijkbare resultaten door applicatiebewuste routering, Forward Error Correction en pakketduplicatie over best-effort internetlinks. Voor 95 procent van de workloads in het middensegment van de markt is het praktische verschil verwaarloosbaar.
Wat is het verschil tussen SD-WAN en SASE?
SD-WAN is een netwerktechnologie die de routering van verkeer over wide area netwerken optimaliseert. SASE is een breder kader dat SD-WAN combineert met geïntegreerde beveiligingsdiensten, waaronder Zero Trust Network Access, Secure Web Gateway en Firewall-as-a-Service. Zie SD-WAN als de connectiviteitslaag en SASE als het complete platform. Jimber levert SD-WAN als onderdeel van het uniforme SASE-platform, zodat organisaties veilige connectiviteit en handhaving van het beveiligingsbeleid vanuit één console krijgen.
Hoe lang duurt een migratie van MPLS naar SD-WAN?
Reken voor een organisatie met 10 locaties op 4 tot 6 maanden. De langste doorlooptijd is meestal het leveren van internetcircuits (60 tot 90 dagen voor glasvezel in delen van Europa). De SD-WAN overlay zelf wordt in dagen per site geïnstalleerd met zero-touch provisioning.
Voldoet SD-WAN aan de NIS2-compliancevereisten?
SD-WAN alleen voldoet niet aan NIS2. De richtlijn vereist toegangscontroles, encryptie, incidentrapportage en risicobeheer van de toeleveringsketen. SD-WAN binnen een SASE-raamwerk biedt de gecentraliseerde logging, het op identiteit gebaseerde toegangsbeleid en de audit trails die NIS2-compliance vereist. Platforms zoals Jimber, gebouwd in Europa en afgestemd op GDPR en NIS2, geven organisaties het bewijs van compliance en de zekerheid van gegevenssoevereiniteit die alternatieven met een Amerikaans hoofdkantoor niet standaard kunnen garanderen.
MPLS-contracten lopen in heel Europa af en de kosten van verlenging zijn moeilijk te rechtvaardigen wanneer internetgebaseerde alternatieven vergelijkbare prestaties leveren tegen een fractie van de kosten. Maar MPLS vervangen door standalone SD-WAN lost slechts de helft van het probleem op. U hebt nog steeds firewalls, webfiltering, VPN en toegangscontrole nodig op elke locatie.
Het SASE-platform van Jimber vervangt de volledige legacy-stack. SD-WAN, Zero Trust-toegang, webbeveiliging en firewallbeleid, allemaal beheerd vanuit één console met transparante prijzen en zonder verborgen complexiteit. Boek een demo om te zien hoe Jimber de migratie van MPLS naar veilige, door de cloud beheerde connectiviteit vereenvoudigt.
