传统路由交换老炮想拿 CCNP Enterprise,ENARSI 是最"省事"的 Concentration — 考的都是你日常在企业网上真碰得到的 BGP / OSPF / DMVPN / MPLS L3VPN,不是 SD-WAN 那种全新体系。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
Cisco CCNP Enterprise Advanced Routing and Services (300-410 ENARSI) 是 CCNP Enterprise 六个 Concentration 选修之一,不是 Core。要拿完整的 CCNP Enterprise,必须 350-401 ENCOR(Core)+ 任选一门 Concentration,ENARSI 是其中最"老 CCNP 风味"的一门 — 几乎就是把 2018 年以前老 CCNP 的 ROUTE + TSHOOT 两门合并升级。
考试规格:60 题 / 90 分钟,及格 825/1000,考试费 $300 USD(部分地区加税浮动),有效期 3 年。每题平均 90 秒,对只做过 CCNA 级考试的人来说节奏明显更紧。
四大考纲领域(官方 v1.1 权重):
- Layer 3 Technologies — 35%:EIGRP(含 Named Mode)、OSPFv2/v3(LSA 类型、area 类型、虚链路、身份认证)、eBGP/iBGP(路径选择 13 步、社区、反射器、confederations)、路由重分发 + route-map、PBR、VRF-Lite
- VPN Technologies — 20%:DMVPN Phase 1/2/3(mGRE + NHRP + IPsec Profile)、MPLS L3VPN 概念(PE/CE/P、VRF、MP-BGP VPNv4、LDP)
- Infrastructure Security — 20%:ACL、CoPP、uRPF(strict vs loose)、AAA(TACACS+/RADIUS)、设备加固
- Infrastructure Services — 25%:Device Management(SSH/NETCONF)、SNMPv2c/v3、Syslog、NetFlow/IPFIX、DHCP/DHCPv6、IP SLA、Object Tracking、NTP
和 ENSDWI (300-415) 怎么选:ENARSI 和 ENSDWI 是两个方向最热门的 Concentration。简单判断:每天还在敲 OSPF / BGP 命令、做 MPLS L3VPN 交付的人选 ENARSI;在 Viptela / Meraki / vManage 上做分支 WAN 的人选 ENSDWI。ENARSI 难度口碑上比 ENSDWI 高一个档次 — 排障题多、命令深,被业内称为 "CCNP 里最像 CCIE 笔试的一门"。
考试风格:ENARSI 的标志性特征是 排障题比例高。题目经常给你一段 show ip bgp、show ip route、show crypto ipsec sa 的输出 + 拓扑图 + 配置片段,让你判断 "路由为什么不出现在路由表里" 或 "为什么 BGP 邻居卡在 Active 状态"。没有实验环境硬背概念的人在这类题上会大面积失分。
你会反复碰到的核心服务
学完以后你能带走什么
- 通过 Cisco 300-410 ENARSI 认证考试
- 在企业骨干网 / ISP 环境独立排查 BGP / OSPF / EIGRP 邻居建立和路由注入问题
- 用 route-map 和 prefix-list 做复杂路由过滤与重分发,规避 route feedback loop
- 部署 DMVPN Phase 3 多 hub 拓扑,支持 branch-to-branch 动态 tunnel
考试详情
适合谁考
适合人群
- Enterprise Network Engineer — 负责企业骨干网 / ISP 路由运维
- WAN Engineer — 部署 MPLS L3VPN / DMVPN / SD-WAN(ENARSI 是 SD-WAN 路由基础)
- Service Provider Edge Engineer — MPLS L3VPN PE 设备运维
- 已持 CCNP Enterprise Core(350-401 ENCOR)的候选人
- 准备冲 CCIE Enterprise Infrastructure Lab 的工程师
开始前最好先有
- 18-24 个月企业网络或 ISP 路由运维经验
- 熟悉至少两种 IGP(OSPF / EIGRP)并部署过 route-map 做过路由过滤
- 接触过 BGP(内部 iBGP 或对等 eBGP peer 配置)
- 理解 IPSec 基本原理(不需要会调所有参数但要懂 Phase 1/2)
- 有 Cisco IOS / IOS XE 实验环境(EVE-NG / CML / DevNet Sandbox)
- 推荐先通过 CCNP Enterprise Core 350-401 ENCOR(非强制但 ENCOR 路由章节是 ENARSI 的前置)
值不值得考?职业价值
Cisco ENARSI 持证人的薪资区间、对应岗位、以及真实的职业影响。
ENARSI + ENCOR = 完整 CCNP Enterprise,这是讨论 ENARSI 职业价值的前提。单独一张 ENARSI 没有独立证书,它只是 CCNP Enterprise 的"半张票"。雇主看的是 CCNP Enterprise 这个完整头衔,ENARSI 只是你给自己贴的"我懂传统路由"的标签。
谁在看 CCNP Enterprise + ENARSI 的组合:澳洲的 Telstra Core、Optus Wholesale、NBN、Vocus、Macquarie Telecom 的 L3 Engineering 和 Core / Backbone 团队;系统集成商 Data#3、NTT (Dimension Data)、Brennan IT、Telstra Purple 的 Cisco Enterprise Practice;美国 AT&T、Lumen、Comcast Business、Verizon 的 core / MPLS engineering 团队。这些地方的 JD 经常写 "CCNP Enterprise (ENARSI preferred)",因为他们的主力产品就是 MPLS L3VPN、DMVPN over Internet backup、BGP peering。
薪资数据:Salary.com 2026 显示美国 CCNP 级工程师中位 $110-120K,搭配 MPLS / BGP 实战经验(ENARSI 典型人群)可以到 $130-150K;澳洲市场 Senior Network Engineer 带 CCNP Enterprise 普遍 $130-155K AUD,骨干网 / ISP 核心网岗位摸到 $170K+;中国一二线城市运营商核心网 / 大厂自建网络岗位 CCNP + MPLS 背景普遍 25-45 万人民币。
ENARSI 最适合的人
-
L2 NOC 想升 L3 / Senior:你日常敲 Cisco 命令但没系统理解过 OSPF 怎么算 SPF、BGP 为什么卡在 Idle、MPLS 标签是怎么分发的。ENARSI 的 35% Layer 3 + 20% VPN 就是强制补完这些底层理解。
-
MSP / 集成商 Cisco practice 的高级工程师:公司投 Cisco Gold Partner 需要团队 CCNP 数量,而你日常在做分行 DMVPN 和客户 MPLS 交付,ENARSI 比 ENSDWI 或 ENAUTO 更贴近你的日常。
-
ISP / Telco 骨干网方向:MPLS L3VPN、BGP large community、route reflector 这些内容在骨干网是日常,ENARSI 的考纲几乎和你 JD 的"必会"重叠。
不适合考 ENARSI 的人
-
目标纯云方向的人:AWS Transit Gateway / Azure Virtual WAN 替代了传统 DMVPN 和 MPLS L3VPN 的很多场景。你要去 AWS SA 或 Azure Network Engineer,学 ENARSI 里的 OSPF virtual link、BGP confederation、MPLS LDP 都是浪费时间,直接上 AWS SAA-C03 → ANS-C01 或 AZ-700 路径。
-
非 Cisco 生态的人:考纲里每个命令、每个 show 输出格式都是 Cisco IOS XE。Juniper / Huawei / Arista 环境的工程师考完这张证在简历上更多是"证明懂原理",实际 day-to-day 命令还是本厂设备。性价比不如对应厂商的 JNCIS / HCIE。
-
网络自动化 / NetDevOps 方向:ENARSI 考纲几乎不碰 Python、Ansible、API。这个方向应该选 300-435 ENAUTO 作为 Concentration。
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
8 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:OCG 精读 + L3 底层打穿(4-5 周)
官方指定教材 *CCNP Enterprise Advanced Routing ENARSI 300-410 Official Cert Guide* (Cisco Press, Raymond Lacoste & Brad Edgeworth),这本必须买 — 它是唯一和考纲逐条映射的教材。这一阶段死磕 Layer 3 Technologies 那 35%:OSPF LSA 类型(Type 1-7 全部)、OSPF area 类型(Standard / Stub / Totally Stubby / NSSA / Totally NSSA)过滤规则、EIGRP Named Mode 的 classic vs named 对比 + variance 不等价负载均衡、BGP 路径选择 13 步顺序必须能默写。重分发部分重点理解 "重分发时 metric 和 AD 怎么走 + 为什么会出路由环路",这是考试高频场景。
第二阶段:EVE-NG 实验环境 + BGP/VPN 深挖(4-5 周)
Packet Tracer 不够用,必须上 **EVE-NG** 或 **Cisco CML (Modeling Labs, $199/年)** 跑真 IOS XE 镜像。必做实验:(1) 搭 4-5 个 AS 的 eBGP 拓扑,配 route-reflector + community + local-preference + MED,验证选路;(2) 搭 DMVPN Phase 1/2/3 全部跑一遍,观察 NHRP 注册、spoke-to-spoke shortcut 触发;(3) 搭 MPLS L3VPN:2 PE + 2 CE + 1 P,跑 OSPF as PE-CE + MP-BGP VPNv4 + LDP,`show ip route vrf CUST_A` 能看到远端 CE 路由。这一阶段的目标是 **任意拓扑能自己配 + 故障注入能自己 debug**。推荐搭配 INE 或 Nick Russo 的 ENARSI 视频课。
第三阶段:Infrastructure Security + Services 清扫(2-3 周)
这 45% 的内容理论多、实验少,容易被忽视。**Security 20%**:CoPP 配置(class-map → policy-map → service-policy control-plane)、uRPF strict / loose 的区别和在非对称路由环境下的坑、AAA 的 TACACS+ 和 RADIUS 报文格式差异、device hardening(关闭 CDP/LLDP、password encryption、login blocking)。**Services 25%**:IP SLA + Track + 静态路由实现 failover(必考场景)、NetFlow v9 vs IPFIX、SNMPv3 的 authNoPriv / authPriv 区别、NTP stratum 和 authentication、DHCP snooping + option 82。Services 部分命令多但套路固定,刷官方 configuration guide 里的示例命令最快。
第四阶段:Boson ExSim + 排障题专项 + 冲刺(3-4 周)
**Boson ExSim-Max for 300-410** ($99),ENARSI 最权威的第三方模考,题目质量和解析比其他模考高一档。目标稳定 82%+ 再约真考。ENARSI 排障题占比高,冲刺阶段必须做的事:(1) 把 `show ip bgp`、`show ip route`、`show ip ospf database`、`show dmvpn`、`show mpls forwarding-table`、`show ip vrf` 这些命令的输出格式背到能默画;(2) BGP 不上邻居的 10 大原因(TTL、source-interface、update-source、认证、ebgp-multihop、ACL 挡 TCP 179 等)每条都要能一句话说清;(3) OSPF 不建邻居的 7 大原因(area 不一致、hello/dead timer、MTU、认证、subnet mask、network type、router-id 冲突)默写;(4) DMVPN Phase 3 里 NHRP redirect 和 shortcut 的触发条件必须能画时序图。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
骨干网工程师,ENCOR 几个月前已经过了,冲 ENARSI 是因为老板说团队 CCNP Enterprise 完整证书数量影响 Cisco Gold Partner 续约。备考 13 周,最难的是 **DMVPN Phase 3 的 NHRP shortcut 机制** — 我日常只碰 MPLS,DMVPN 完全是新东西,在 EVE-NG 上反复搭了 6 个版本的拓扑才搞明白。真考 60 题有 2 道 DMVPN 排障题都给了部分分。给骨干网同行的建议:**别因为 BGP/MPLS 熟就跳过 DMVPN 章节**,ENARSI VPN 那 20% 里 DMVPN 占大头。
我日常给客户做 Catalyst + ISR 交付,BGP / OSPF 熟但从来没认真看过 **EIGRP Named Mode**。考前 1 周刷题才发现 ENARSI EIGRP 考的全是 Named Mode 的 address-family 语法,我脑子里还是 classic 模式命令,差点翻车。真考场 3 道 EIGRP 题有 2 道问 named mode 语法和 metric weights。教训:**不要用"我熟"来跳过章节**,ENARSI 考纲里注明的子主题一个都不能漏。Boson ExSim 我刷了 3 遍,最后一遍 86% 才去约的考试。
省公司做 MPLS VPN 业务网 4 年,日常就是开通 VRF、配 BGP peer、查 LDP。考 ENARSI 对我来说更多是"把知识体系化"而不是"学新东西"。最意外的是 **Infrastructure Services 那 25%** — IP SLA + Track + Object Tracking + NetFlow 这些东西日常没人关心,但考纲权重比 VPN 还高。最后两周专门刷这一块把分拉上来。考完感觉 ENARSI 比 ENCOR 实战价值更高 — 它考的每个知识点都是我日常工单里真会碰到的。
同赛道认证对比
| Cisco ENARSI | Cisco CCNA | Cisco ENCOR | |
|---|---|---|---|
| 机构 | Cisco | Cisco | Cisco |
| 级别 | 专业级 | 助理级 | 专业级 |
| 考试费 | $330 | $330 | $330 |
| 时长 | 120 min | 120 min | 120 min |
| 题量 | 65 | 100 | 65 |
| 有效期 | 3 年 | 3 年 | 3 年 |
备考技巧与常见失误
**不能回头改题**:和 CCNA / ENCOR 一样,点 Next 后不能返回上一题。Sim 和 Drag-Drop 题尤其确认清楚再提交。
**时间压力大**:60 题 / 90 分钟 = 90 秒/题,但 Sim 题一道会吃掉 8-12 分钟。前 40 道选择题必须压到 60-70 秒一题才能给 Sim 留足空间。
**Sim 配置必须 `do wr mem`**:ENARSI 的 Sim 题更多是让你按需求补全配置(比如修 BGP 邻居、加 route-map),配完一定 `end` → `do wr mem`,不然关掉这题所有配置清零。
**排障题用 "show 命令倒推" 思路**:题目给一段 show 输出 + 问题描述,不要急着看拓扑图。先看 show 命令告诉你 **什么是正常的 / 什么是异常的**,再对照配置片段找不一致点。90% 排障题的答案就藏在 show 输出里。
**BGP / OSPF 邻居不上类题目**:记死口诀 — BGP 检查 TCP 179 + source-interface + update-source + ebgp-multihop + 认证 + ACL;OSPF 检查 area + hello/dead + MTU + 认证 + subnet mask + network type。碰到这类题按清单挨个排除。
**MPLS L3VPN 题先认 PE / P / CE 角色**:题目给拓扑后先在脑子里标出哪台是 PE (有 VRF + MP-BGP)、哪台是 P (只跑 LDP + IGP)、哪台是 CE (不知道 MPLS 存在)。角色错了后面全错。
**母语非英语申请 ESL +30 分钟**:Pearson VUE 报名时在 Accommodations 里提交。90 → 120 分钟对非英语母语 + 排障题多的 ENARSI 帮助巨大。
**考前 48 小时只复习错题本 + 命令表**:不碰新内容。把 BGP 路径选择 13 步、OSPF LSA 7 类、DMVPN Phase 三阶段、MPLS RD/RT 区别这几张表再默写一遍即可。
**BGP 路径选择 13 步顺序背错** — 必考点。正确顺序要背牢:Weight(思科私有,本地最大)→ Local Preference(AS 内最大)→ Locally originated(network/aggregate/redistribute)→ AS Path 最短 → Origin code (IGP < EGP < Incomplete) → MED 最小 → eBGP over iBGP → IGP metric 到 next-hop 最小 → 最老路径 → Router ID 最小 → Cluster list 最短 → Neighbor IP 最小。考场经常给你 4 条候选路径让你选最终选路,记混一步就全错。
**EIGRP DUAL 算法里 FS (Feasible Successor) 条件搞反** — DUAL 选路必考:Successor 是当前主路径;Feasible Successor 是备份,必须满足 **"邻居的 RD (Reported Distance) < 本地到目的的 FD (Feasible Distance)"** 这个无环路条件。非常多人把 RD 和 FD 比较方向记反,导致题目问 "下列哪条路径是 FS" 时选错。记忆口诀:**"邻居报告的距离必须比我当前的总距离小"**。
**OSPF LSA 类型和区域过滤规则** — LSA 1 (Router) / 2 (Network) / 3 (Summary Net) / 4 (Summary ASBR) / 5 (External) / 7 (NSSA External) 必须能对应到场景。过滤规则:**Stub** 阻断 LSA 5;**Totally Stubby** 阻断 LSA 3/4/5(思科私有);**NSSA** 允许 LSA 7 在本区域流通并在 ABR 转成 LSA 5;**Totally NSSA** 再进一步阻断 LSA 3/4。题目经常问 "某区域配成 X 类型后,下列哪些 LSA 能看到",答案严格按这个表走。
**MPLS L3VPN 的 Route Distinguisher (RD) vs Route Target (RT) 混淆** — 极高频陷阱。**RD** 用于让 IPv4 前缀在 MP-BGP VPNv4 地址族里保持唯一(不同 VRF 里的 10.0.0.0/24 不冲突),它不决定路由导入导出;**RT** 才是决定路由在 VRF 之间导入导出的扩展社区属性。配 hub-and-spoke MPLS VPN 时用的是 **不对称 RT**(hub 导出 RT-hub、导入 RT-spoke;spoke 导出 RT-spoke、导入 RT-hub),RD 不参与这个逻辑。
**DMVPN Phase 2 和 Phase 3 的区别记不清** — **Phase 1**:hub-spoke only,所有流量过 hub,spoke 上配点到点 GRE。**Phase 2**:支持 spoke-to-spoke 直连隧道(mGRE + NHRP),但 **spoke 路由表的 next-hop 还必须保留为原始 spoke** — 所以 hub 上不能做 next-hop-self,EIGRP 下还要关掉 split-horizon。**Phase 3**:用 NHRP redirect + shortcut,hub 收到跨 spoke 流量后发 redirect 让源 spoke 直接解析目标 spoke — 路由可以汇总、可以 next-hop-self。考题经常问 "为什么在 Phase 2 下 spoke 间流量还是过 hub",答案往往是 hub 上误配了 next-hop-self 或没关 split-horizon。
**IPv6 过渡技术名字对不上机制** — ENARSI 考少量 IPv6 过渡:**双栈** (最简单最贵);**NAT64 + DNS64**(IPv6 only 主机访问 IPv4 互联网);**6to4** (2002::/16 前缀,自动隧道,已淘汰);**ISATAP** (站内自动隧道);**Manual Tunnel / GRE Tunnel**。考题问 "某场景下应该用哪种过渡",记住一句话:**"IPv6-only 访问 IPv4 Internet = NAT64"**,其他都是双栈或静态隧道。
**CoPP 方向配错** — Control Plane Policing 是保护路由器自身 CPU 的,class-map 匹配的是 **流向 control plane 的流量**(目的 = 本机 IP 的 BGP/OSPF/SSH 等)。配置时作用在 `control-plane` 接口,不是物理接口或 VLAN 接口。常见错误:把 CoPP policy 配到 GigabitEthernet 接口上当普通 ACL 用,完全不起保护 CPU 的作用。