最終更新日 2025年10月23日
Contents
はじめに
CCNP Enterpriseの中でも特に実践的な内容が問われる「ENARSI(300-410)」は、
ルーティング・VPN・セキュリティ・サービス管理 のすべてをカバーする中級~上級者向け試験です。
本記事では Cisco公式ブループリントv1.1をもとに、各分野の重要キーワードとコマンドを整理しました。
「どこから手を付ければいいかわからない…」という方でも、章ごとの暗記リストで効率的に学べる構成です。
是非参考にしてみてください。
第1章:Layer 3 Technologies(レイヤ3技術)
本章の暗記のポイントは以下の通りです。
- BGP属性の優先順位は暗記必須 Weight → LocalPref → AS-Path → MED → Origin → IGP → Router-IDの順。
経路選択問題の定番パターンです。 - 再配布時はループ防止タグが重要 OSPF⇔EIGRPやBGP⇔OSPF間では「set tag」で識別し、
route-mapで制御する構成を覚えましょう。 - VRF-Liteはマルチテナント構成の基礎 `ip vrf`と`rd`/`route-target`設定を理解。
VPNを使わずに論理分離できる仕組みです。 - PBR(Policy-Based Routing)はNext-Hop操作に注目 `route-map`+`set ip next-hop`構成で制御。
`ip policy route-map`を忘れずに適用します。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| Administrative Distance | ルーティングプロトコルの信頼度 | 例: Connected(0), Static(1), EIGRP(90), OSPF(110) | 異なるプロトコル間の経路選択優先度を理解 |
| Route Redistribution | 異なるルーティングプロトコル間の経路共有 | redistribute ospf 1 metric 10000 100 255 1 1500 | メトリック変換・ループ防止の理解必須 |
| Route Map | ルーティングポリシー制御 | route-map MAP1 permit 10 → match ip address 10, set metric 100 | BGPや再分配時のフィルタリング設定 |
| Prefix List | 経路マッチング用ACLの上位互換 | ip prefix-list PL1 seq 5 permit 10.0.0.0/24 le 30 | OSPF/BGPフィルタで頻出 |
| Distribute List | 経路フィルタACL | distribute-list 10 in / out | ACLと連携する古典的経路制御 |
| Policy-Based Routing (PBR) | 宛先以外の条件でルーティング | route-map PBR permit 10 + set ip next-hop | PBR適用は ip policy route-map |
| VRF-Lite | 仮想ルーティングテーブルを構築 | ip vrf CUSTOMER1 + rd 100:1 | VPN環境なしで論理分離する技術 |
| BFD (Bidirectional Forwarding Detection) | リンク障害検出の高速化 | bfd interval 50 min_rx 50 multiplier 3 | EIGRP/OSPF/BGPで連携設定可 |
| EIGRP Classic Mode | 旧来の設定方式 | router eigrp 100, network 10.0.0.0 | IPv6非対応。Named Modeへの移行推奨 |
| EIGRP Named Mode | IPv4/IPv6統合設定モード | router eigrp CCNP + address-family ipv4 unicast autonomous-system 100 | 試験で頻出構文、Classicとの差異に注意 |
| EIGRP Metric | パス選択基準 | metric weights 0 1 0 1 0 0 | BW・Delayの計算式を理解 |
| Feasible Distance | EIGRPの最小コスト | Successorの選択基準 | FDとADの比較でループ防止 |
| Feasible Successor | バックアップルート | show ip eigrp topologyで確認 | AD < FD条件を理解 |
| OSPF Router ID | 各ルータの識別子 | 手動設定: router-id 1.1.1.1 | 最も高いループバック > 物理IPの順 |
| OSPF Area | 経路集約単位 | Area 0(バックボーン)必須 | ABR/ASBRの役割を区別 |
| OSPFv3 | IPv6対応版OSPF | ipv6 router ospf 10, area 0 | リンクローカル通信を使用 |
| OSPF Network Type | 隣接関係形成方式 | Broadcast, Point-to-Point, NBMA | DR/BDR選出有無に注意 |
| OSPF LSA Type | 経路情報形式 | Type1〜Type7、特にType3/5/7の変換理解 | NSSA構成が頻出 |
| OSPF Virtual Link | 非連続エリアを接続 | area 0 virtual-link <RID> | DR経由でBackbone接続必須 |
| BGP (Border Gateway Protocol) | 経路制御プロトコル | router bgp 65000 / neighbor 10.1.1.2 remote-as 65001 | ENARSI最頻出トピック |
| IBGP / EBGP | 内部・外部BGP | 同一AS間 / 異AS間 | Next-hop処理・TTL理解 |
| BGP Update Message | 経路広告 | Path Attributes: AS_PATH, NEXT_HOP, LOCAL_PREF | Path属性理解が鍵 |
| BGP Attribute Priority | 経路選択順序 | Weight > LocalPref > AS-Path > MED > Origin > IGP cost > Router-ID | 順序暗記必須 |
| Local Preference | AS内経路選択基準 | set local-preference 200 | 大きい値が優先される |
| Weight | ルータ内部優先度 | neighbor x.x.x.x weight 1000 | Cisco独自属性(非伝播) |
| AS-Path Prepending | 経路優先度を下げる | set as-path prepend 65000 65000 | 経路制御テクニック |
| MED (Multi-Exit Discriminator) | 外部経路の優先度調整 | set metric 50 | 小さい値が優先される |
| Route Reflector | IBGPの全メッシュ軽減 | neighbor x.x.x.x route-reflector-client | Cluster-IDループ回避理解 |
| BGP Peer Group | 共通設定テンプレ | neighbor GROUP peer-group | 大規模設定の効率化 |
| BGP Confederation | AS分割構成 | bgp confederation identifier 65000 | AS間管理軽減。AS_PATH理解が重要 |
| BGP Route Filtering | 経路制御 | Prefix-list, AS-PATH filter | 試験でフィルタ構文出題多い |
| BGP Communities | 経路タグ付け | set community 65000:100 additive | No-export / No-advertiseなど暗記 |
| BGP Next-Hop Self | 内部AS内でのNext-hop更新 | neighbor x.x.x.x next-hop-self | IBGPで要設定 |
| BGP Route Aggregation | 経路集約 | aggregate-address 10.0.0.0 255.255.0.0 summary-only | Atomic aggregate属性に注意 |
| Redistribution Loop Prevention | 経路ループ防止 | Route-tag, Filter-list | 再分配問題で頻出 |
| Static Route | 手動経路設定 | ip route 0.0.0.0 0.0.0.0 10.1.1.1 | 管理距離1、最優先経路 |
| Floating Static Route | バックアップ経路 | ip route 0.0.0.0 0.0.0.0 10.1.1.2 200 | AD調整で冗長構成可能 |
| Summarization | 経路集約 | EIGRP:ip summary-address eigrp、OSPF:area range | サマリー地点を把握 |
| Route Tagging | 経路識別 | set tag 100 | 再分配時ループ防止に利用 |
| Loop Prevention (Split Horizon) | 自己経路再送防止 | デフォルト有効 | no ip split-horizon eigrpに注意 |
| Route Poisoning | 無効経路通知 | Metric∞設定 | RIP/EIGRPに適用 |
| OSPF Stub Area | 外部経路抑制 | Type5除外 | ABRでarea x stub |
| OSPF NSSA | 外部経路の限定受入 | Type7を利用 | area x nssa + translate type7 always |
| Redistribution Metrics | プロトコル間変換値 | BW, Delay, Reliability, Load, MTU | 試験で計算値問題あり |
| Route Filtering (ACL) | 標準/拡張ACL | access-list 1 permit 10.0.0.0 0.0.0.255 | EIGRP/OSPF/Redistributeで利用 |
| RIB vs FIB | 経路テーブルと転送テーブル | RIB: Control Plane, FIB: Data Plane | CEF理解必須 |
| CEF (Cisco Express Forwarding) | 高速転送機構 | show ip cef | パケット転送高速化の要 |
| Load Balancing | 複数経路の並行利用 | Per-destination / Per-packet | EIGRP/OSPFで挙動差あり |
| ECMP | Equal Cost Multi-Path | 複数等コスト経路の利用 | maximum-paths設定あり |
| IPv6 Routing | IPv6経路制御 | ipv6 route ::/0 2001:db8::1 | IPv4との共通点・差異を理解 |
| IPv6 RA & ND | IPv6自動設定 | RA: Router Advertisement | DHCPv6連携あり |
| SLAAC | IPv6自動アドレス設定 | Prefix+Interface ID | DHCPv6-Liteと比較される |
| NHRP | ネクストホップ解決 | DMVPNで利用 | L3動的トンネル確立 |
| VRF Route Leaking | VRF間経路共有 | ip route vrf A ... global | マルチテナント環境で重要 |
| Route Distinguisher (RD) | VRF識別子 | rd 65000:1 | VPNv4識別で使用 |
| Route Target (RT) | VPNルート制御タグ | export/import 65000:1 | MPLS VPNとの連携基礎 |
| Default Route Origination | デフォルト経路広告 | default-information originate | OSPF/EIGRPで出題多い |
| Passive Interface | 広告抑制 | passive-interface default | 不要なHello送信防止 |
| Neighbor Adjacency | ルータ間接続関係 | Hello/Dead Interval一致必要 | OSPF/EIGRPトラブルで必出 |
| Hello Interval | 隣接確認間隔 | OSPF:10秒(P2P) | ずれでAdj形成不可 |
| Dead Interval | 障害検出タイマ | OSPF:40秒 | Hello×4ルール |
| Graceful Restart | 再起動中の経路保持 | NSF(Nonstop Forwarding) | BGP/OSPF対応あり |
| Route Dampening | 不安定経路抑制 | bgp dampening | Flap経路制御 |
| Routing Protocol Authentication | 経路認証 | MD5/HMAC-SHA256 | セキュリティ強化項目 |
| OSPF Authentication | 認証設定 | ip ospf authentication message-digest | MD5鍵一致必須 |
| EIGRP Authentication | 認証設定 | key-chain EIGRP_KEYS | Key mismatch問題多発 |
| BGP Authentication | TCPセッション認証 | neighbor x.x.x.x password cisco | 同一パスワード必須 |
| TTL Security (GTSM) | BGP保護機構 | neighbor x.x.x.x ttl-security hops 1 | EBGPセキュリティ必出 |
| IP SLA | 通信品質監視 | ip sla 1 → icmp-echo | トラブルシュート章と連携 |
| Object Tracking | 状態監視 | track 1 ip sla 1 reachability | SLA連携フェイルオーバー構築 |
| HSRP | 冗長化プロトコル | standby 1 priority 110 preempt | VRRPとの違い |
| VRRP | 標準化冗長化 | vrrp 1 priority 110 preempt | OSPFのNext-hop選択に影響 |
| GLBP | 負荷分散冗長化 | glbp 1 load-balancing round-robin | 一部試験に含まれる場合あり |
第2章:VPN Technologies(VPN技術)
本章の暗記のポイントは以下の通りです。
- DMVPNはPhase 1~3の違いを整理 Phase1=Hub-Spoke固定、Phase2=Spoke間通信、Phase3=最適ルーティング。
`ip nhrp redirect` / `shortcut`が鍵です。 - MPLS VPNではRDとRTの違いを明確に RDは識別子、RTは経路制御タグ。
`route-target import/export`の使い方を覚えましょう。 - IKEv2+IPsecの流れを理解 フェーズ1:鍵交換(ISAKMP) → フェーズ2:SA確立(IPsec)。
`crypto ipsec profile`の構文を押さえる。 - DMVPNではTransport Mode+mGREが基本 GRE over IPsec構成が主流。
`tunnel protection ipsec profile`を組み合わせます。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| VPN (Virtual Private Network) | 公共ネットワーク上での仮想専用線 | トンネリング+暗号化 | MPLS, DMVPN, IPsecなど種類を区別 |
| GRE (Generic Routing Encapsulation) | 汎用トンネリングプロトコル | interface tunnel0 → tunnel source, tunnel destination | シンプル構成だが暗号化なし |
| mGRE (Multipoint GRE) | 多対多トンネル | tunnel mode gre multipoint | DMVPNフェーズ2/3で使用 |
| NHRP (Next Hop Resolution Protocol) | ネクストホップ自動解決 | ip nhrp network-id, ip nhrp map | DMVPNの基盤プロトコル |
| DMVPN (Dynamic Multipoint VPN) | 動的VPNフレームワーク | HUB–SPOKE–SPOKE通信を自動確立 | Phase 1/2/3の違いを理解 |
| DMVPN Phase 1 | Hub-Spoke型通信のみ | トンネル静的 | 小規模環境向け |
| DMVPN Phase 2 | Spoke間動的通信可 | NHRPマッピング必要 | OSPF等の隣接関係に注意 |
| DMVPN Phase 3 | サマリーとNBMA最適化 | ip nhrp redirect / shortcut | 最新試験で最重要 |
| IPsec (Internet Protocol Security) | IP層暗号化プロトコル群 | AH/ESP/IKE | VPN暗号化の中核技術 |
| IKEv2 (Internet Key Exchange v2) | セッション確立プロトコル | SAネゴシエーションの自動化 | ENARSIではIKEv2を中心に問われる |
| ISAKMP | 暗号鍵交換プロトコル | crypto isakmp policy 10 | IKEv1の構成要素 |
| IPsec Tunnel Mode | IPヘッダごと暗号化 | 通常のサイト間VPN | 本番構成で一般的 |
| IPsec Transport Mode | ペイロードのみ暗号化 | GREと組み合わせて利用 | DMVPNで頻出 |
| Transform-Set | 暗号化方式の組み合わせ | crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac | 暗号・ハッシュの選択理解 |
| Crypto Map | VPNポリシー適用 | crypto map VPN 10 ipsec-isakmp | 静的VPN設定で使用 |
| Crypto Profile | DMVPN/IPsec連携設定 | crypto ipsec profile | 動的トンネル向け |
| IPsec SA (Security Association) | 暗号通信セッション | 双方向で2本確立 | show crypto saで確認 |
| Pre-Shared Key | 事前共有鍵 | crypto isakmp key cisco address 0.0.0.0 | 双方一致が必要 |
| Certificate-Based Auth | デジタル証明認証 | CAサーバと連携 | IKEv2で推奨方式 |
| AH (Authentication Header) | 改ざん検出ヘッダ | 認証のみ提供 | ESPと組み合わせて使用 |
| ESP (Encapsulating Security Payload) | データ暗号化 | esp-aes, esp-sha-hmac | 最も一般的 |
| Perfect Forward Secrecy (PFS) | 鍵再利用防止 | pfs group14 | 安全性向上の必須概念 |
| IPsec Lifetime | SA有効期間 | crypto isakmp policy 10 lifetime 3600 | 不一致で再確立不可 |
| IKE Policy Priority | 優先順位 | 数値小さい方が優先 | 複数定義時に注意 |
| GRE over IPsec | GREに暗号化付与 | tunnel protection ipsec profile | 試験頻出構成 |
| VRF-Aware IPsec | VRF別VPNトンネル | crypto isakmp profile VRF_A | マルチテナント環境に対応 |
| DMVPN over MPLS | ハイブリッド構成 | L3VPN + DMVPN | 実務試験でも重要 |
| MPLS (Multiprotocol Label Switching) | ラベルベース転送 | LSR, LER, LFIB | VPN伝送の基盤技術 |
| LDP (Label Distribution Protocol) | MPLSラベル配布 | mpls label protocol ldp | LSR間通信で使用 |
| MPLS LSR / LER | スイッチング/エッジルータ | LSR: 中継、LER: エッジ | 動作ロールを明確に |
| MPLS Forwarding Table | ラベル転送表 | show mpls forwarding-table | LFIB確認コマンド |
| VPNv4 Address | VRF拡張アドレス形式 | RD + IPv4 | BGPで伝送される |
| Route Distinguisher (RD) | VRF識別子 | rd 100:1 | VPNv4重複防止 |
| Route Target (RT) | 経路タグ | export/import 100:1 | VPNルート制御の鍵 |
| MP-BGP (Multiprotocol BGP) | VPN経路配布 | address-family vpnv4 | MPLS VPNの根幹 |
| Provider Edge (PE) | MPLS境界ルータ | VRF保持 | CE間経路分離 |
| Customer Edge (CE) | 顧客側ルータ | 静的/BGP接続 | VRF内BGP理解 |
| Core Router (P) | 中核MPLSルータ | ラベル転送のみ | VPN経路を保持しない |
| MPLS Label Stack | ラベル階層構造 | Outer / Inner | PHP動作理解 |
| Penultimate Hop Popping (PHP) | 最終前ノードでラベル削除 | デフォルト有効 | mpls ldp explicit-nullで無効化 |
| LDP Neighbor | LSR間ピアリング | show mpls ldp neighbor | LSR間の疎通確認 |
| MPLS TTL Propagation | TTL転送制御 | no mpls ip propagate-ttl | セキュリティとトレース抑制 |
| MPLS VPN Routing | VRF単位の経路分離 | ip vrf コマンド群 | ルートリーク理解 |
| VRF Import/Export Map | 経路制御 | route-target import/export | 経路共有条件を制御 |
| MPLS Traceroute | ラベル経路追跡 | traceroute mpls ipv4 | 試験演習で確認される |
| DMVPN EIGRP | EIGRP動作構成 | Hub: no split-horizon eigrp | Spoke間通信時の必須設定 |
| DMVPN OSPF | OSPF構成 | NBMA扱い | Network Type調整が鍵 |
| DMVPN BGP | BGP over mGRE | IBGPで利用 | update-source tunnel0 |
| IPsec Debug | トンネル診断 | debug crypto isakmp / debug crypto ipsec | 最重要トラブルシュート項目 |
| DMVPN NHRP Cache | ネイバーキャッシュ | show ip nhrp | 動的マッピング確認 |
| IPsec Show Commands | ステータス確認 | show crypto session / sa | 実際のIKEネゴ確認 |
| DMVPN Show Commands | 状態確認 | show dmvpn | 状態・フェーズ確認に必須 |
| IPsec Failover | フェイルオーバー時再確立 | 再ネゴシエーション発生 | 再認証条件を理解 |
| IPsec Rekey | 鍵再生成 | 定期的に実施 | セキュリティ維持機構 |
| VPN QoS Pre-Classify | 暗号化前の分類 | qos pre-classify | QoS連携に必要 |
| GRE Keepalive | トンネル死活監視 | keepalive 10 3 | 設定ミスでトンネル落ち注意 |
| DMVPN Split-Horizon | 経路制御 | Hub側no ip split-horizon eigrp | 代表的ミス構成問題 |
| DMVPN NBMA Mapping | 手動マップ | ip nhrp map <IP> <NBMA> | 動的解決できない場合に利用 |
| IPsec Mode Selection | モード設定 | mode transport / tunnel | DMVPNでTransportが主流 |
| IKEv2 Proposal | 暗号アルゴリズムセット | crypto ikev2 proposal PROP | AES-GCM/SHA256が主流 |
| IKEv2 Policy | 組み合わせ定義 | crypto ikev2 policy | 複数候補設定可 |
| IKEv2 Profile | 認証・IKE連携 | crypto ikev2 profile PROF1 | DMVPNやAnyConnectで利用 |
| IPsec Profile Binding | トンネル適用 | tunnel protection ipsec profile | DMVPN構成必須要素 |
| Dynamic Crypto Map | 動的接続ポリシー | crypto dynamic-map | クライアントVPNで使用 |
| VRF Selection for VPN | VRF選択 | tunnel vrf / crypto vrf | マルチテナント設定問題に注意 |
| GETVPN | MPLSレスVPNソリューション | GDOI, KS, GM | 暗号化をL3で統合制御 |
| GDOI (Group Domain of Interpretation) | グループ鍵配布プロトコル | crypto gdoi group | GETVPNの基礎要素 |
| KS (Key Server) | グループ鍵管理装置 | server local | 暗号鍵再配布を統括 |
| GM (Group Member) | VPNクライアント装置 | crypto gdoi group参加 | GETVPN動作理解 |
| VPN Failover | 冗長トンネル構成 | 2本のtunnel設定 | 同期再確立問題あり |
| IPsec Replay Protection | パケット再送防止 | Sequence番号管理 | 既定で有効 |
| VPN Troubleshooting | トンネル疎通確認 | ping tunnel, show crypto isakmp sa | ENARSI試験で必出演習領域 |
| Tunnel Interface Status | トンネル状態 | show interface tunnel0 | UP/DOWN原因特定 |
| NAT-Traversal (NAT-T) | NAT越えVPN | UDP 4500使用 | VPN疎通トラブル定番 |
| IPsec Hash Algorithms | データ認証 | SHA-1, SHA-256, SHA-512 | 弱いハッシュ除外傾向 |
| AES Encryption | 高速暗号方式 | AES-128/256 CBC/GCM | DES/3DESは旧式 |
| GCM Mode | 認証付き暗号化 | AES-GCM | 高速・軽量で主流 |
| DH Group | 鍵交換強度 | group 5, 14, 19, 20 | Group14以上が推奨 |
第3章:Infrastructure Security(インフラストラクチャセキュリティ)
本章の暗記のポイントは以下の通りです。
- AAA設定は「new-model」から始まる `aaa new-model`有効化後に`group radius`や`tacacs+`設定。
メソッドリストの順序にも注意。 - CoPPは制御プレーン防御の中心 `policy-map CONTROL-PLANE`+`service-policy input`構成。
class-mapでSSHやSNMPを明示的に保護します。 - IPv6 FHS(First Hop Security)は3要素を覚える RA Guard、DHCP Guard、ND Inspection。
IPv6攻撃対策としてセットで問われます。 - uRPFは「正しい経路から来た通信のみ許可」 `ip verify unicast source reachable-via rx`がStrict Mode。
マルチパス時はLoose Modeを利用。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| AAA (Authentication, Authorization, Accounting) | 認証・認可・課金 | aaa new-model で有効化 | セキュリティの基盤。3要素を暗記 |
| RADIUS | AAAプロトコル(UDP) | 認証と課金を統合 | UDP1812/1813使用、暗号化はパスワードのみ |
| TACACS+ | AAAプロトコル(TCP) | tacacs-server host 10.1.1.1 key cisco | 認証と認可を分離、TCP49使用 |
| Local AAA | ローカルユーザー認証 | username admin secret pass | 小規模環境向け |
| Server Group | 認証サーバ集合 | aaa group server radius R1 | 複数サーバ冗長構成 |
| Method List | 認証順序指定 | aaa authentication login default group radius local | fallback順理解 |
| Authorization Exec | コマンド実行権限付与 | aaa authorization exec default group tacacs+ | role-based accessで利用 |
| Accounting | 操作ログ管理 | aaa accounting exec default start-stop group radius | コンプライアンス要素 |
| Privilege Levels | 権限レベル | 0~15まで定義可能 | show / config制限 |
| Role-Based CLI | カスタム権限制御 | parser view VIEW1 | TACACS+と連携可能 |
| Login Block-for | 不正ログイン防止 | login block-for 60 attempts 3 within 30 | 試験で頻出設定 |
| Exec Timeout | コンソール自動ログアウト | exec-timeout 5 | セキュリティ基本設定 |
| Banner MOTD | 警告メッセージ | banner motd ^C Unauthorized access prohibited ^C | 法的警告用 |
| SSH | 安全なリモート管理 | ip ssh version 2 | Telnet禁止が推奨事項 |
| HTTPS Server | GUIアクセス | ip http secure-server | no ip http serverとセットで理解 |
| SNMPv3 | 安全なネットワーク管理 | 認証+暗号化サポート | SNMPv1/v2cは禁止傾向 |
| SNMP View | OIDアクセス制限 | snmp-server view SEC iso included | View+Group+User構成理解 |
| ACL (Access Control List) | トラフィック制御 | 標準/拡張ACL | 最も出題頻度高い領域 |
| Standard ACL | ソースIP制御 | access-list 1 permit 192.168.1.0 0.0.0.255 | 送信元限定 |
| Extended ACL | 条件拡張 | access-list 101 permit tcp any any eq 80 | TCP/UDP/ICMPなど条件指定 |
| Named ACL | 名前付きACL | ip access-list extended WEB | 運用性向上 |
| ACL Placement | 設置位置 | 標準:出口、拡張:入口 | 最適化が鍵 |
| Reflexive ACL | 動的ACL | reflect TCPTRAFFIC | 双方向通信制御 |
| Dynamic ACL | 時間制御ACL | access-list 150 dynamic USERS timeout 60 | 一時的許可で利用 |
| Time-Based ACL | 時間帯ACL | time-range OFFICE_HOURS | 運用制御向け |
| IPv6 ACL | IPv6対応ACL | ipv6 access-list V6BLOCK | IPv4 ACLと構文差異あり |
| Object Group | ACL効率化 | object-group network SERVERS | 試験でコマンド登場 |
| uRPF (Unicast Reverse Path Forwarding) | スプーフィング防止 | ip verify unicast source reachable-via rx | Strict/Loose両方理解 |
| DHCP Snooping | 不正DHCP防止 | ip dhcp snooping vlan 10 | Binding Table概念重要 |
| DHCP Snooping Binding Table | IP–MAC対応表 | show ip dhcp snooping binding | Dynamic ARPと連携 |
| Dynamic ARP Inspection (DAI) | 不正ARP検出 | ip arp inspection vlan 10 | DHCP Snooping依存あり |
| IP Source Guard | 不正IP検出 | ip verify source | DHCP Snooping連携必須 |
| IPv6 RA Guard | 不正RA防止 | ipv6 nd raguard | IPv6 FHSで重要 |
| IPv6 ND Inspection | 不正Neighbor検出 | ipv6 nd inspection vlan | RA Guardとセット出題 |
| IPv6 DHCP Guard | 不正サーバ防止 | ipv6 dhcp guard | IPv6セキュリティ三本柱 |
| IPv6 Source Guard | IPv6アドレス検証 | ipv6 source-guard | 試験新出要素 |
| IPv6 Snooping | IPv6機器監視 | RA/ND情報追跡 | IPv6 FHS総称として問われる |
| Port Security | MACアドレス制限 | switchport port-security | Sticky MAC構文要暗記 |
| Sticky MAC | 動的学習固定化 | switchport port-security mac-address sticky | 試験頻出設定 |
| Violation Modes | 違反時動作 | Protect / Restrict / Shutdown | Shutdownがデフォルト |
| BPDU Guard | STP不正BPDU遮断 | spanning-tree bpduguard enable | ループ対策の基本 |
| Root Guard | STP Root防止 | spanning-tree guard root | 不正ルート選出防止 |
| Loop Guard | BPDU途絶時ループ防止 | spanning-tree guard loop | 試験で設定比較あり |
| Storm Control | ブロードキャスト抑制 | storm-control broadcast level 1.00 0.50 | 輻輳防止機能 |
| Control Plane Policing (CoPP) | 制御プレーン保護 | policy-map CONTROL-PLANE-POLICY | 代表的試験問題 |
| CoPP Class Map | パケット分類 | class-map match protocol ssh | CoPP構成理解必須 |
| CoPP Policy Map | アクション設定 | police 64000 conform-action transmit exceed-action drop | Rate設定確認 |
| Control Plane Protection (CPPr) | CoPPの強化版 | Host / Transit / CEFプレーン分離 | ENARSIではCoPPが中心 |
| ACL Logging | パケットロギング | log オプション使用 | 性能影響に注意 |
| Login Security | 不正試行対策 | login delay 5, login on-failure log | CLI試験問題あり |
| Enable Secret | 暗号化パスワード | enable secret <password> | enable password非推奨 |
| Service Password Encryption | 平文暗号化 | service password-encryption | セキュリティ低いが評価対象 |
| Secure Boot | IOS署名検証 | secure boot-image | 改ざん検出メカニズム |
| Image Signing | IOSバイナリ署名 | verify /md5 / secure boot-verify | 新試験で問われる可能性 |
| Syslog | ログ転送 | logging host 10.1.1.10 | SNMP連携確認 |
| Syslog Severity | ログレベル | 0~7 (Emerg–Debug) | 各レベル暗記必須 |
| Timestamp Logging | 時刻付加 | service timestamps log datetime msec | NTPと連携 |
| NTP Authentication | 時刻認証 | ntp authenticate | 時刻改ざん防止 |
| NTP Access Group | 許可制御 | ntp access-group peer 10 | ACL連携設定 |
| SNMP Trap | 通知機構 | snmp-server enable traps | SNMPv3ユーザ必須 |
| SNMP User | SNMPv3認証ユーザ | snmp-server user USER1 GROUP1 v3 auth sha priv aes | 暗号+認証を確認 |
| Security Zones | セキュリティ領域 | Outside / Inside | Firewall・ZBFW基礎概念 |
| ZBFW (Zone-Based Firewall) | IOS組込FW機能 | zone security INSIDE | CCNP範囲の補助出題 |
| Class Map (FW) | トラフィック分類 | class-map type inspect match-any WEB | ACLとの違いに注意 |
| Policy Map (FW) | トラフィック処理 | policy-map type inspect | inspect / drop動作理解 |
| Service Policy (FW) | 適用 | service-policy type inspect IN_POLICY in | QoS/CoPPと同構文 |
| HTTPS Inspection | SSL通信解析 | ip inspect name SSL https | 高度設定で出題あり |
| Logging Buffered | 内部ログ | logging buffered 16384 | ログサイズ調整 |
| Logging Console | コンソール出力 | logging console warnings | 現場設定必須項目 |
| Secure Copy (SCP) | 暗号化ファイル転送 | ip scp server enable | FTP代替、安全通信 |
| File Integrity Check | IOS整合性確認 | verify flash:ios.bin | 改ざん検出対策 |
| SNMP Views | OID可視化制御 | snmp-server view SEC iso included | Group/Userと紐付け理解 |
| TACACS+ Accounting | コマンド記録 | aaa accounting commands 15 default start-stop group tacacs+ | コマンド監査で使用 |
| DoS Mitigation | 攻撃防御 | ip icmp rate-limit unreachable | Rate-limit構文出題あり |
| ICMP Unreachable Control | ICMP制御 | no ip unreachables | 試験で混同されやすい |
| IPv6 Secure Neighbor Discovery (SEND) | IPv6認証ARP | Cryptographically Generated Address | 新技術として注目 |
| IPSG (IP Source Guard) | IP+MAC検証 | DHCP Snooping連携 | IPv4/IPv6両方出題あり |
| Port ACL (PACL) | ポート単位ACL | ip access-group 101 in | L2/L3の境界制御 |
| VLAN ACL (VACL) | VLAN単位ACL | vlan access-map BLOCK_HTTP | SPAN連携理解 |
| Control Plane Policing Default Class | CoPP未分類処理 | class-default drop | デフォルト動作問題多い |
| CPU Protection | CPU負荷防止 | CoPP/CPPr共通目的 | SNMP/SSH攻撃対策 |
| IPv6 RA Limit | 広告抑制 | ipv6 nd raguard policy limit | 新試験要素(FHS追加) |
| Secure Shell Key Length | 鍵長指定 | 2048以上推奨 | 試験で問われるセキュリティ強度 |
| Interface ACL Direction | 適用方向 | in / out | エントリ適用順序に注意 |
| Security Audit Feature | 自動脆弱性検出 | security audit | 一部ルータでサポート |
第4章:Infrastructure Services(インフラストラクチャサービス)
本章の暗記のポイントは以下の通りです。
- IP SLAとObject Trackingはセットで覚える `ip sla 1`で疎通監視→`track 1 ip sla 1 reachability`で
ルートやHSRP連携を実現します。 - NetFlowとFlexible NetFlowの違いを理解 v9=固定テンプレート、FNF=カスタマイズ可。
`flow exporter`+`monitor`構成を覚える。 - SyslogとSNMPの違いを整理 Syslog=リアルタイム通知、SNMP=ポーリング監視。
両方を組み合わせて使うのが実践的。 - NTP同期とSyslog時刻は必ず一致させる `service timestamps log datetime msec`+`ntp server`設定。
時刻ずれはトラブル調査に致命的です。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| DHCP (Dynamic Host Configuration Protocol) | IPアドレス自動割り当て | ip dhcp pool CLIENTS → network 192.168.1.0 255.255.255.0 | 試験頻出サービス。relay設定を含む |
| DHCP Relay | 他ネットワークのDHCP転送 | ip helper-address 10.1.1.1 | L3デバイスで必須設定 |
| DHCP Option 82 | リレー情報挿入 | Circuit-ID/Remote-ID | DHCP Snoopingと併用出題あり |
| DHCP Reservation | 固定割り当て | host 192.168.1.10 255.255.255.0 hardware-address | 予約方式の構文を理解 |
| DHCP Excluded Address | 除外範囲指定 | ip dhcp excluded-address 192.168.1.1 192.168.1.9 | 試験構成で頻出 |
| DHCP Lease Time | リース期間 | lease 7 | 短すぎる設定は再割当頻発 |
| DHCP Client | ルータをDHCPクライアント化 | ip address dhcp | 試験演習で出題される |
| DNS (Domain Name System) | 名前解決サービス | ip name-server 8.8.8.8 | 管理性とトラブル対応が重要 |
| DNS Lookup Disable | 名前解決無効化 | no ip domain-lookup | タイプミス対策で頻出 |
| DNS Resolver Cache | 名前解決キャッシュ | show hosts | 名前解決履歴確認 |
| SNMP (Simple Network Management Protocol) | ネットワーク監視 | v1/v2c/v3 モードあり | v3での認証・暗号が重要 |
| SNMPv3 AuthPriv | 認証+暗号化 | snmp-server user admin grp v3 auth sha priv aes | 最も安全な構成 |
| SNMP Trap | 通知メッセージ送信 | snmp-server enable traps | Syslogと連携出題あり |
| SNMP Group | 認可単位 | snmp-server group ADMIN v3 priv | View・Userの関係を理解 |
| SNMP View | OID範囲制御 | snmp-server view SEC iso included | セキュリティ強化設定 |
| SNMP Community | v2c認証文字列 | snmp-server community public RO | 実環境では非推奨だが試験出題あり |
| Syslog | ログ収集システム | logging host 10.1.1.1 | SNMPとの違いを理解 |
| Syslog Severity Level | 0〜7の優先度 | 0:emerg〜7:debug | 4(warning)など数字で出題される |
| Syslog Timestamp | 日時情報付与 | service timestamps log datetime msec | NTPと連動設定が出題 |
| Syslog Facility | ログ出力種別 | local0〜local7 | 外部サーバ識別に使用 |
| Logging Buffered | 内部バッファログ | logging buffered 16384 | メモリサイズ指定 |
| Logging Console | コンソール出力 | logging console warnings | デフォルト出力制御を理解 |
| Logging Trap | 外部サーバ送信レベル | logging trap informational | Level選択が重要 |
| Logging Source Interface | 送信元指定 | logging source-interface Loopback0 | 管理プレーン安定化 |
| IP SLA | トラフィック監視・可用性測定 | ip sla 1 → icmp-echo 8.8.8.8 | 試験頻出サービス |
| IP SLA Schedule | スケジュール実行 | ip sla schedule 1 life forever start-time now | 常時監視設定が出題 |
| IP SLA Responder | 応答側デバイス設定 | ip sla responder | 双方向測定に必須 |
| IP SLA Track | 状態トラッキング | track 1 ip sla 1 reachability | RouteやHSRPと連携 |
| Object Tracking | 状態依存制御 | track 10 interface g0/0 line-protocol | 冗長構成に多用 |
| Route Tracking | デフォルト経路制御 | ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1 | ENARSI頻出シナリオ |
| SNMP Polling | 状態取得 | SNMP GETリクエスト | 監視の基本動作 |
| SNMP MIB | 管理情報ベース | IF-MIB, IP-MIB など | OID構造の理解 |
| NetFlow | トラフィック解析 | ip flow ingress | v5, v9, Flexible NetFlow問われる |
| NetFlow v9 | 拡張テンプレート対応版 | ip flow-export version 9 | 現行主流。FNFの前身 |
| Flexible NetFlow (FNF) | カスタマイズ可能版 | flow exporter, flow monitor | ENARSI新試験で重点化 |
| NetFlow Exporter | データ送信先設定 | flow exporter EXPORT1 | Syslog送信形式と比較出題あり |
| NetFlow Monitor | フロー定義 | flow monitor MON1 | interfaceに適用必要 |
| NetFlow Record | 記録項目定義 | match ipv4 source address | トラフィック粒度制御 |
| NetFlow Collector | 受信側サーバ | ip flow-export destination 10.1.1.1 2055 | 収集ツール識別重要 |
| IP Accounting | トラフィック統計 | ip accounting output-packets | NetFlowとの違いを理解 |
| NTP (Network Time Protocol) | 時刻同期プロトコル | ntp server 10.1.1.1 | Syslogと組み合わせ出題 |
| NTP Master | 時刻基準サーバ設定 | ntp master 3 | 階層指定理解 |
| NTP Authentication | 時刻認証 | ntp authenticate / ntp trusted-key | 改ざん対策として出題 |
| NTP Access Group | 接続制御 | ntp access-group peer 10 | ACLと連携 |
| Clock Timezone | タイムゾーン設定 | clock timezone JST 9 | 試験で地味に出る |
| Service Timestamps | ログ時刻設定 | service timestamps debug datetime msec | Syslog連動確認 |
| Embedded Event Manager (EEM) | 自動化スクリプト | event manager applet | トラブル自動復旧問題で出題 |
| EEM Applet | 条件ベーススクリプト | event syslog pattern "DOWN" | IP SLA連携 |
| EEM Policy | Tclベース制御 | 高度な動作制御 | 試験ではApplet中心 |
| Track Object | 状態オブジェクト | track 5 interface g0/1 line-protocol | RouteやHSRPと連携 |
| HSRP Tracking | 冗長制御 | standby 1 track 1 decrement 10 | 状態依存動作問題で頻出 |
| VRRP Tracking | 同様の冗長制御 | vrrp 1 track 1 decrement 20 | HSRPとの比較出題あり |
| GLBP Tracking | 負荷分散+冗長制御 | glbp 1 weighting track 1 decrement 10 | ENARSIの範囲外寄りだが出題あり |
| Device Management Access | 管理アクセス制御 | SSH, HTTPS, SNMP, Telnet | CoPP/ACLと連携理解 |
| HTTP Server Disable | Webサーバ無効化 | no ip http server | セキュリティ設定として頻出 |
| HTTPS Enable | HTTPS管理有効化 | ip http secure-server | 管理ポート保護 |
| SCP (Secure Copy Protocol) | 安全なファイル転送 | ip scp server enable | copy scp: コマンドで利用 |
| TFTP | 軽量ファイル転送 | copy tftp flash: | 暗号化なし、試験対比で問われる |
| FTP | TCPベース転送 | ip ftp username | セキュリティ注意点 |
| Archive Configuration | 自動保存 | archive path flash:/backup/ | Configバックアップ問われる |
| Archive Rollback | 設定ロールバック | configure replace | 試験新傾向の範囲 |
| SNMP Syslog Comparison | SNMPとSyslogの違い | SNMP=ポーリング, Syslog=通知 | セットで問われやすい |
| IP Device Tracking | IP利用状況監視 | ip device tracking | FHS連携項目 |
| Service Password Encryption | パスワード暗号化 | service password-encryption | 運用時セキュリティ確認 |
| Smart Licensing | ライセンス管理 | license smart register idtoken | 現行IOSの標準化項目 |
| Call Home | Cisco自動通報機能 | service call-home | Smart Call Homeで出題あり |
| RESTCONF | ネットワークAPI | restconf 有効化 | DNA Centerと関連性あり |
| NETCONF | 構成管理API | netconf-yang 有効化 | 自動化領域として追加出題傾向 |
| YANG Model | ネットワーク構成モデル | 標準化データ構造 | RESTCONF/NETCONFの共通基盤 |
| Cisco DNA Center | 統合管理プラットフォーム | 旧名Catalyst Center | ENARSI新版で軽く出題 |
| Cisco DNA Assurance | 可視化・分析機能 | Path Trace, Health Score | 問題診断領域で問われる |
| Device Telemetry | 状態自動収集 | gNMI/gRPCプロトコル | 新出トピック(軽く問われる) |
| SNMP Poll Interval | ポーリング間隔 | 60秒など設定可能 | 過負荷防止 |
| Syslog Buffer Size | 内部ログ容量 | logging buffered 65536 | 出題実績あり |
| IP SLA Jitter | 音声遅延測定 | udp-jitter | QoS監視関連で出題 |
| IP SLA Threshold | 遅延閾値 | threshold 100 | 状態変化検知に利用 |
| DHCP Conflict | アドレス重複検知 | clear ip dhcp conflict | トラブル対応問題 |
| DNS Reverse Lookup | 逆引き解決 | PTRレコード | DNS関連設問で出題 |
| Logging Rate-Limit | ログ送信抑制 | logging rate-limit 10 | CPU保護機構として出題 |
| SNMP Engine ID | SNMPv3識別子 | 自動生成 or 手動設定 | v3設定時に重要 |
| SNMP Trap Receiver | 送信先設定 | snmp-server host 10.1.1.5 version 3 auth user1 | v3出題多数 |
| NTP Peer | 同階層同期 | ntp peer 10.1.1.1 | Master/Clientとの違い |
| Network Clock Synchronization | 全体同期設計 | NTP + Syslog | 試験全般で基礎概念 |
CCNP ENARSIの参考情報
CCNP ENARSIの試験概要や主題範囲の割合等参考情報を以下に記載します。
CCNP ENARSI(300-410)概要・前提条件
| 項目 | 内容 |
|---|---|
| 試験コード | 300-410 ENARSI |
| 試験時間 | 約90分 |
| 問題数 | 約55~65問(選択式+ドラッグ&ドロップ+シミュレーション) |
| 認定の有効期間 | 3年 |
| 前提条件 | CCNA保有、または同等の知識が推奨 |
| 試験テーマ | ルーティングプロトコル(OSPF/EIGRP/BGP)、VPN技術(DMVPN/MPLS/IPsec)、インフラセキュリティ、ネットワーク監視サービス |
| 試験バージョン | Version 1.1(最新版) |
| 対応デバイス | IOS XE 17.x / Catalyst 9000 シリーズ など |
| 注意事項 | ENARSIは「実装+トラブルシュート力」が重視されます。再配布・BGP属性・CoPP・NetFlowなどCLI操作理解が鍵。 |
出題範囲(トピック別・目安重み)
| トピック | 出題内容 | 重み |
|---|---|---|
| Layer 3 Technologies | ルーティングプロトコル(EIGRP、OSPF、BGP)、再配布、ルートマップ、VRF-Lite | 約35% |
| VPN Technologies | DMVPN、MPLS、IPsec、NHRP、IKEv2 | 約20% |
| Infrastructure Security | AAA、CoPP、ACL、uRPF、IPv6 FHS(RA Guard/DHCP Guard) | 約20% |
| Infrastructure Services | DHCP、SNMP、Syslog、IP SLA、NetFlow、NTP、EEM | 約25% |