Accueil · Guides de révision · 300-410

Guide complet 300-410 — Cisco

Implementing Cisco Enterprise Advanced Routing and Services (ENARSI) · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification Cisco 300-410 ENARSI s'adresse aux ingenieurs reseau confirmes souhaitant valider leurs competences avancees en routage d'entreprise. Examen QCM/simulations de 90 minutes, environ 60 questions, en anglais. Prerequis recommande : CCNA valide. Elle constitue l'une des deux specialisations pour decrocher le CCNP Enterprise. Debouches : ingenieur reseau senior, architecte WAN, expert routage, consultant infrastructure. Tres recherchee dans les ESN, operateurs telecoms et grandes entreprises multi-sites en 2026.

Pourquoi passer la certification 300-410 ?

En 2026, la certification 300-410 ENARSI reste une reference incontournable pour les ingenieurs reseau visant des postes seniors. Avec l'explosion du SD-WAN, du multi-cloud hybride et des architectures distribuees, la maitrise du routage avance (BGP, OSPF, EIGRP, MPLS L3VPN, DMVPN) est plus valorisee que jamais. Les entreprises peinent a recruter des profils capables de troubleshoot des reseaux complexes : selon les etudes LinkedIn 2026, les competences en routage Cisco figurent dans le top 10 des skills IT les plus demandes en Europe. Le ROI est rapide : une augmentation salariale moyenne de 12 a 18% est constatee dans les 12 mois suivant l'obtention. Cote CV, la 300-410 combinee a la 350-401 ENCOR delivre le CCNP Enterprise, certification professional reconnue mondialement et exigee dans 65% des offres d'ingenieur reseau senior en France. Contrairement aux certifications cloud generalistes, ENARSI prouve une expertise technique profonde, difficile a bluffer en entretien. Pour les freelances, le TJM moyen passe de 550 a 750 EUR. C'est egalement la marche indispensable vers le CCIE Enterprise Infrastructure, sommet de la carriere reseau.

Caractéristiques de l'examen

Format	QCM + simulations, environ 60 questions
Duree	90 minutes
Score requis	825/1000 (environ 82%)
Prix officiel	300 USD (environ 285 EUR)
Langues	Anglais, Japonais
Validite	3 ans
Prerequis	CCNA recommande, 3-5 ans d'experience reseau

Programme détaillé par domaine

Domain 1 : Layer 3 Technologies 35%

Objectifs: Ce domaine, le plus important de l'examen, couvre les protocoles de routage avances. Le candidat doit savoir configurer, verifier et troubleshoot EIGRP (classique et named mode) en environnements IPv4/IPv6, OSPFv2 et OSPFv3 (areas, LSA types, virtual links, summarization), ainsi que BGP eBGP/iBGP avec policies avancees (route-maps, prefix-lists, communities, local preference, MED, AS-path prepending). Il faut maitriser la redistribution multi-protocoles, les boucles de routage et leur prevention via route-tags, et le policy-based routing (PBR). Une comprehension fine de l'administrative distance, du recursive lookup et des mecanismes de selection de route est essentielle pour reussir les simlets.
Concepts clés: EIGRP named mode, stub routing, query scoping, leak-map. OSPF : LSA 1-7, area types (stub, totally stubby, NSSA), DR/BDR election, SPF tuning, authentication MD5/SHA. BGP : path attributes (weight, local-pref, AS-path, MED, origin), route reflectors, confederations, regex AS-path, communities (well-known et extended), 4-byte ASN, peer-groups, BGP best path algorithm. Redistribution : seed metric, route-maps avec match/set, distribute-lists, prevention des boucles via tags. Comprehension du RIB versus FIB, CEF switching, et resolution recursive next-hop. Maitrise des debug et show commands : show ip bgp, show ip ospf database, show ip eigrp topology.
Services / outils: Protocoles : EIGRP, OSPFv2/v3, BGP-4. Outils CLI Cisco IOS XE : route-maps, prefix-lists, access-lists, distribute-lists. Mecanismes : PBR, BFD pour fast convergence, IP SLA pour tracking, object tracking. Plateformes : routeurs ISR 4000, Catalyst 8000, ASR 1000.
Temps estimé: 25-30h

Domain 2 : VPN Technologies 20%

Objectifs: Le candidat doit comprendre et configurer les technologies VPN d'entreprise. Cela inclut MPLS Layer 3 VPN avec VRF-Lite, route distinguishers (RD), route targets (RT), et le fonctionnement de MP-BGP pour transporter les routes VPNv4. DMVPN (Dynamic Multipoint VPN) en phases 1, 2 et 3 avec NHRP, mGRE, et integration avec EIGRP/OSPF/BGP par-dessus le tunnel. La comprehension des principes IPsec (IKEv1/IKEv2, transform-sets, crypto-maps) est requise pour securiser les overlays. Troubleshoot des problemes courants : black holes, recursive routing, mismatch d'authentification, MTU et fragmentation.
Concepts clés: VRF-Lite : creation de VRF, assignation d'interfaces, route-target import/export, address-family ipv4 vrf. MPLS L3VPN : architecture PE-CE, MP-BGP VPNv4, RD versus RT. DMVPN : hub-and-spoke (phase 1), spoke-to-spoke direct (phase 2), summarization avec NHRP shortcut (phase 3). NHRP registration, holdtime, mapping. mGRE tunnel mode. Integration routing protocols sur DMVPN : split-horizon EIGRP, OSPF network type point-to-multipoint. IPsec : ISAKMP policies, IKE phase 1/2, tunnel protection profile.
Services / outils: MPLS, MP-BGP, VRF, NHRP, mGRE, IPsec, IKEv2. Cisco DMVPN, GETVPN, FlexVPN. Outils de debug : debug nhrp, debug crypto isakmp, show dmvpn, show crypto session.
Temps estimé: 15-20h

Domain 3 : Infrastructure Security 20%

Objectifs: Ce domaine couvre la securisation du plan de controle, du plan de gestion et des protocoles de routage. Le candidat doit configurer ACL (standard, etendues, nommees, time-based), uRPF (strict et loose mode), CoPP (Control Plane Policing) pour proteger le CPU des routeurs. Securisation des protocoles : authentification OSPF/EIGRP/BGP via MD5 ou keychains. Securisation de l'acces administrateur : AAA avec TACACS+ et RADIUS, role-based CLI access, secure management avec SSH, NETCONF/RESTCONF.
Concepts clés: ACL IPv4 et IPv6, extended ACL avec port-range, established keyword. uRPF strict versus loose, allow-default, allow-self-ping. CoPP : class-maps, policy-maps appliques au control-plane. AAA : authentication, authorization, accounting. TACACS+ versus RADIUS : differences UDP/TCP, encryption complete versus password only. Keychains avec rotation automatique. IPv6 first-hop security : RA Guard, DHCPv6 Guard, IPv6 Source Guard. Securisation management plane : SSH v2, ACL VTY, login block-for.
Services / outils: TACACS+, RADIUS, AAA, Cisco ISE, CoPP, uRPF, ACL, keychain, SSH, SNMPv3, NETCONF/RESTCONF.
Temps estimé: 10-12h

Domain 4 : Infrastructure Services 15%

Objectifs: Ce domaine adresse les services d'infrastructure essentiels au fonctionnement et au monitoring du reseau. Configuration et troubleshoot de la synchronisation horaire (NTP avec authentification, NTP stratum), supervision avec SNMPv2c/v3 (communities, views, users, traps versus informs), logging avec syslog (severites 0-7, facilities, timestamps). Monitoring de flux avec NetFlow et Flexible NetFlow : configuration de flow records, exporters, monitors. Comprehension de IP SLA pour le tracking de chemins et l'integration avec object tracking pour HSRP et PBR dynamique.
Concepts clés: NTP : modes client, server, peer, broadcast. Authentification NTP. SNMPv3 : security levels (noAuthNoPriv, authNoPriv, authPriv), users versus groups versus views. Syslog severity levels (emergencies a debugging). NetFlow v5 versus v9 versus IPFIX. Flexible NetFlow : flow record, flow exporter, flow monitor. IP SLA : echo, jitter, dns, http. Object tracking lie a IP SLA pour failover. DHCP relay, DHCP snooping, DHCPv6.
Services / outils: NTP, SNMP v2c/v3, Syslog, NetFlow, Flexible NetFlow, IPFIX, IP SLA, DHCP/DHCPv6, Cisco Prime Infrastructure, SolarWinds.
Temps estimé: 8-10h

Domain 5 : Troubleshooting et Automation 10%

Objectifs: Ce domaine transverse evalue la methodologie de troubleshoot et les bases d'automation. Le candidat doit savoir utiliser show commands, debug, ping avec source/size/df-bit, traceroute, packet captures (EPC - Embedded Packet Capture). Il doit comprendre les bases de l'automation : modeles de donnees YANG, protocoles NETCONF/RESTCONF, scripting Python avec librairies Netmiko et NAPALM. Comprehension d'Ansible playbooks pour configuration de masse.
Concepts clés: Methodologie : top-down, bottom-up, divide and conquer. Embedded Event Manager (EEM) applets et scripts TCL. Embedded Packet Capture (EPC). YANG data models : OpenConfig versus Cisco-native. NETCONF (XML over SSH) versus RESTCONF (JSON over HTTPS). Python Netmiko pour SSH automation, NAPALM pour multi-vendor. Bases JSON/XML parsing. Git pour versioning de configurations.
Services / outils: EEM, EPC, NETCONF, RESTCONF, YANG, Python, Netmiko, NAPALM, Ansible, Git, Cisco DNA Center.
Temps estimé: 8-10h

Plan de révision hebdomadaire

Semaine 1-2 : Lecture du blueprint officiel Cisco 300-410 et du Official Cert Guide (Hucaby). Focus theorique sur EIGRP et OSPF avances. Labs Cisco Modeling Labs (CML) ou EVE-NG : monter une topologie multi-area OSPF avec redistribution. Semaine 3-4 : Approfondissement BGP. Lire le BGP Volume I (Halabi/Mc Pherson). Labs : configuration eBGP/iBGP, route reflectors, manipulation des attributs, communities. Resoudre 10 cas de troubleshoot BGP. Semaine 5 : VPN technologies. Lab MPLS L3VPN avec 2 PE et 4 CE. Construction d'un DMVPN phase 3 a 5 spokes. Integration IPsec. Semaine 6 : Infrastructure Security. ACL avancees, CoPP, uRPF, AAA TACACS+ avec ISE en lab. Semaine 7 : Services (NTP, SNMPv3, NetFlow, IP SLA) et automation (Python/Netmiko, NETCONF). Semaine 8 : Examens blancs Boson ExSim (objectif 85%+), revision des points faibles, focus sur les simlets. 2 derniers jours : repos, relecture des notes synthetiques, sommeil. Passer l'examen le matin, frais.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Cisco Learning Network ENARSI

Blueprint officiel, forums et webinaires gratuits animes par des CCIE Cisco.

CCNP Enterprise ENARSI 300-410 Official Cert Guide (Hucaby)

Le livre de reference Cisco Press, exhaustif sur tous les domaines avec questions de revision.

Boson ExSim-Max for 300-410

Examens blancs les plus realistes du marche avec explications detaillees, indispensables avant l'examen.

INE / CBT Nuggets ENARSI

Cours video avec labs guides, ideal pour les apprenants visuels et la pratique CLI.

5 erreurs classiques à éviter

Erreur 1 : Negliger les labs pratiques. ENARSI contient des simlets ponderees lourdement. Lire ne suffit pas : monter des topologies dans CML/EVE-NG est obligatoire pour reussir.
Erreur 2 : Sous-estimer BGP. Beaucoup de candidats se concentrent sur OSPF et echouent sur les questions BGP (path attributes, route reflectors). Consacrer au moins 30% du temps a BGP.
Erreur 3 : Ignorer la redistribution multi-protocoles. C'est un sujet recurrent et piege : oublier les route-tags pour eviter les boucles est une erreur classique penalisee.
Erreur 4 : Memoriser sans comprendre. L'examen teste le troubleshoot, pas la recitation. Comprendre POURQUOI une commande fonctionne est plus important que la connaitre par coeur.
Erreur 5 : Negliger l'automation et NETCONF/RESTCONF. Le domaine 5 vaut 10% mais beaucoup l'ignorent. Quelques heures sur YANG/Python rapportent des points faciles.

5 questions types corrigées

Q1. Dans un design BGP avec route reflectors, quel attribut est ajoute pour prevenir les boucles entre RR ?

Réponse : B

Lorsqu'un route reflector reflete une route a ses clients ou non-clients, il ajoute deux attributs non-transitifs : Originator-ID (router-id du speaker iBGP original) et Cluster-list (liste des cluster-IDs traverses). Si un RR recoit une route avec son propre Cluster-ID dans la Cluster-list, il la rejette, prevenant ainsi les boucles. AS-path n'est pas utilise pour les boucles iBGP car il n'est pas modifie. Local-pref et MED servent a la selection de chemin, pas a la prevention de boucle.

Q2. Quelle phase DMVPN permet la communication spoke-to-spoke directe avec summarization au hub ?

Réponse : C

DMVPN Phase 3 utilise NHRP shortcut et NHRP redirect pour permettre la communication directe spoke-to-spoke tout en autorisant le hub a summarizer les routes. En Phase 2, le hub doit annoncer les prefixes specifiques avec next-hop preserve, empechant la summarization. Phase 1 ne supporte pas le trafic spoke-to-spoke direct (tout transite par le hub). Phase 4 n'existe pas officiellement. La Phase 3 est preferee dans les deploiements modernes a grande echelle.

Q3. Quelle commande active uRPF strict mode sur une interface ?

Réponse : B

La commande 'ip verify unicast source reachable-via rx' active uRPF en mode strict : le paquet est accepte uniquement si la route vers la source pointe via l'interface de reception. 'reachable-via any' active le mode loose (route existe via n'importe quelle interface). 'ip verify unicast reverse-path' est l'ancienne syntaxe equivalente au strict. uRPF requiert CEF active. Le mode strict est utilise sur les interfaces ne presentant pas d'asymetrie de routage, typiquement sur les liens d'acces.

Voir plus de questions gratuites →

Carrière & salaire après 300-410

En France en 2026, un ingenieur reseau certifie CCNP Enterprise (incluant 300-410) gagne entre 48 000 et 65 000 EUR brut/an en debut de specialisation, et 65 000 a 85 000 EUR avec 5-8 ans d'experience. Les architectes reseau seniors atteignent 90 000 a 110 000 EUR. En freelance, les TJM oscillent entre 600 et 800 EUR selon Paris/region. Les debouches : ingenieur reseau senior, expert WAN/SD-WAN, architecte infrastructure, consultant Cisco, NOC engineer N3. Les secteurs porteurs : ESN (Capgemini, Sopra, Atos), operateurs (Orange Business, SFR Business), banques, industrie. Certifications complementaires recommandees : 350-401 ENCOR pour completer le CCNP, puis CCIE Enterprise Infrastructure ou specialisations SD-WAN, DevNet Professional pour orientation NetDevOps.

Détail des salaires 300-410 en 2026 →

FAQ — 300-410

Combien de temps faut-il pour preparer 300-410 ?

Comptez 8 a 12 semaines a raison de 10-15h/semaine si vous avez deja le CCNA et de l'experience reseau. Sans experience pratique, prevoyez 4 a 6 mois avec un investissement massif en labs.

Cette certification est-elle reconnue en France ?

Oui, le CCNP Enterprise (dont ENARSI fait partie) est l'une des certifications reseau les plus reconnues en France et en Europe. Elle figure explicitement dans 65% des offres d'ingenieur reseau senior sur LinkedIn et APEC.

Quel est le taux de reussite a 300-410 ?

Cisco ne publie pas de chiffres officiels, mais les estimations communautaires situent le taux de reussite premier essai entre 55 et 65%. C'est une certification reputee difficile, surtout sur les simlets BGP et MPLS.

Quel est le salaire apres 300-410 ?

Avec le CCNP Enterprise complet, comptez 48-65 KEUR en debut, 65-85 KEUR confirme, 85-110 KEUR senior/architecte. En freelance : 600-800 EUR TJM. Hausse moyenne post-certification : 12-18% dans les 12 mois.

Faut-il une experience prealable ?

Cisco recommande 3 a 5 ans d'experience en implementation de solutions reseau d'entreprise. Le CCNA n'est pas un prerequis formel depuis 2020 mais reste fortement conseille pour acquerir les bases.

300-410 ou cert concurrente : laquelle choisir ?

Face a Juniper JNCIS-ENT ou Aruba ACCX, le CCNP Cisco reste dominant en France (75% de parts de marche entreprise). Choisissez 300-410 sauf si votre employeur cible est exclusivement Juniper ou HPE/Aruba.

Combien coute l'examen 300-410 ?

300 USD officiellement, soit environ 285 EUR. Pearson VUE applique la TVA selon le pays. Comptez aussi 50-200 EUR pour Boson ExSim, 60 EUR pour le Official Cert Guide, et eventuellement un abonnement INE/CBT Nuggets.

Combien de fois peut-on repasser 300-410 ?

Pas de limite globale, mais delai obligatoire : 5 jours apres un echec avant de retenter. Apres 4 echecs sur le meme examen, attente de 6 mois. Chaque tentative est facturee 300 USD.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc 300-410 → Test d'orientation