AWS 所有 Specialty 里公认最难的一张,只有在 AWS 做混合组网、天天碰 Transit Gateway/Direct Connect/BGP 的高级网络架构师才值得考;纯应用层开发者或者不跑 AWS 的网工考了基本没用。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
AWS Certified Advanced Networking - Specialty(ANS-C01)在所有 AWS 认证里难度排第一,比 SAP-C02 还硬。考试 65 题、170 分钟、$300 USD,题干里 BGP AS-Path 操作、Direct Connect BGP community tag、Route 53 Resolver inbound/outbound endpoint 这类细节几乎没有"蒙对"的可能 — 你要么在生产环境真的搭过混合网络,要么就挂。
ANS-C01 在 2022 年 7 月接替 ANS-C00 上线,最大变化是去掉了 StorageGateway/WorkSpaces 这种边缘话题,把权重集中到了 Transit Gateway、Cloud WAN、Network Firewall、Gateway Load Balancer 这些 2020 年之后才 GA 的服务。考纲 4 大领域:Network Design(30%,多 VPC + 混合连接 + 全球网络)、Network Implementation(26%,VPC 高级路由 + Route 53 + ELB)、Network Management & Operations(20%,Flow Logs + Reachability Analyzer + 故障排查)、Network Security, Compliance & Governance(24%,Network Firewall + WAF + 加密传输)。
这张证的考点分布和 SAP 完全不同:SAP 考你"选哪个服务",ANS 考你"这个服务的路由表怎么写、BGP community 怎么 tag、DNS 递归查询走哪个端点"。AWS 官方推荐 5 年以上网络实战经验 + 2 年以上 AWS 动手经验,这不是劝退话 — 是真实门槛。reddit 上通过的人普遍反馈:"先拿 CCNP,再在 AWS 上跑 2 年混合网络,然后才有资格碰 ANS。" 证书有效期 3 年,到期需要重考。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 AWS 官方认可的 Advanced Networking Specialty 认证
- 掌握多 VPC、多账户和多区域网络架构设计
- 熟练配置 Transit Gateway、Direct Connect 和 VPN 混合连接
- 具备大规模 AWS 网络的监控、排障和优化能力
考试详情
适合谁考
适合人群
- 设计和实施 AWS 网络架构的网络架构师
- 管理大规模 AWS 网络环境的高级网络工程师
- 负责混合云网络连接的基础设施工程师
- 希望深入 AWS 网络服务的解决方案架构师
- 已持有 AWS Associate 认证希望获得网络专项认证的学员
开始前最好先有
- 至少 2 年 AWS 网络架构设计与实施经验
- 深入理解 VPC、子网、路由表和安全组
- 了解 BGP、OSPF 等动态路由协议
- 具备混合云网络(VPN、Direct Connect)实践经验
- 建议先通过 AWS Solutions Architect Associate 或 Professional 认证
值不值得考?职业价值
AWS Advanced Networking 持证人的薪资区间、对应岗位、以及真实的职业影响。
ANS-C01 是"高薪但窄门"的典型
持 ANS-C01 的人在美国的薪资中位数大约 $180K-$195K USD,比持 SAP 的普通云架构师高 $15K-$25K/年。原因很简单:会写 Terraform 搭 Transit Gateway hub-spoke + DX Gateway + Route 53 Resolver 的人本来就少,能同时搞定 BGP 路由策略和 AWS 网络服务的更少。澳洲市场 Telstra、NAB、Woodside 这类企业的 Senior Network Architect 岗位基本把 ANS 作为 preferred qualification,package 普遍从 $170K AUD 起谈,高的能到 $215K。
但这张证的需求面非常窄。它不像 SAA/SAP 那样几乎所有云相关岗位都认 — ANS 只在三类公司有用:
- 有大量 on-prem 资产在迁 AWS 的传统企业(银行、电信、能源、政府)。这些公司有真实的 Direct Connect + VPN 混合组网需求,招聘时会直接列 "ANS-C01 preferred"。
- AWS Professional Services / Advanced Consulting Partner。AWS 合作伙伴考评里 ANS 是加分项,有些合伙层级(Advanced/Premier)硬性要求团队里持证人数。
- 大型 SaaS 公司的 Platform/Infra 团队(Atlassian、Canva、Datadog)。他们跑的是多账户多 region 架构,需要懂 Transit Gateway 路由表精细控制和 PrivateLink 网格。
不适合的人群更多:
- 应用层开发者 / 后端工程师:日常碰不到 VPC 路由表,考下来就只能挂墙上,对薪资和晋升没帮助。应该考 DVA-C02 或 SAP-C02。
- 纯 on-prem 网络工程师(CCIE/CCNP):如果你公司 AWS 用量很小,ANS 学的东西用不上,不如先升 CCIE。
- DevOps/SRE:更应该考 DOP-C02(DevOps Professional),ANS 的考点和你日常的 CI/CD、observability 几乎不重叠。
- 小公司/创业公司工程师:创业公司一般就一个 VPC + NAT Gateway,Transit Gateway 根本用不上,ANS 的知识没有应用场景。
一个真实的 ROI 计算:ANS 考试费 $300,加上 Cantrill 课程($40)+ Tutorials Dojo 模考($15)+ 大约 150 小时备考时间。如果你现在做的是应用开发,考完之后工资不会涨,时间全浪费;如果你是传统企业的网络工程师要转云,这 150 小时 + $355 能让你的简历从"on-prem 网工"变成"AWS 网络架构师",跳槽涨幅 30-50% 是常见的。ANS 是"岗位对口就极度划算,岗位不对口就极度不划算"的证,没有中间地带。
考试域分布
这里不是装饰信息,它决定你应该先把时间砸在哪些知识域上。
学习内容分布
1. 网络设计
Network Design
2. 网络实施
Network Implementation
3. 网络管理与运维
Network Management and Operations
4. 网络安全、合规与治理
Network Security, Compliance, and Governance
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
6 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第零阶段:先自查网络基础(1 周)
ANS-C01 不教你 BGP 基础,默认你已经会。自查清单:能手画 BGP AS-Path 选路流程、知道 Local Preference vs MED vs AS-Path Prepending 的优先级、能解释 iBGP 和 eBGP 的区别、知道 OSPF LSA 类型。如果这些答不上来,**先去补 CCNA/CCNP 的 BGP 章节**(Jeremy's IT Lab 的免费 YouTube 课程最合适),否则后面学 Direct Connect BGP community 会完全听不懂。
第一阶段:AWS 核心网络服务(3-4 周)
按这个顺序学:VPC(CIDR 规划、路由表、ENI、Gateway Endpoint vs Interface Endpoint)→ Transit Gateway(association / propagation / 路由表设计 / 跨 region peering)→ Direct Connect(专用连接 vs 托管连接、Private/Public/Transit VIF 的场景区别、LAG、DX Gateway)→ Site-to-Site VPN(静态 vs 动态路由、加速 VPN、与 DX 的主备组合)。**Adrian Cantrill 的 ANS-C01 课程是这个阶段的首选**,他讲 Transit Gateway 路由表的部分是全网最清楚的。
第二阶段:Route 53 + 混合 DNS 深度专题(2 周)
这是 ANS 的第二大考点。必须搞清楚:Route 53 8 种路由策略的触发条件(Simple/Weighted/Latency/Failover/Geolocation/Geoproximity/Multivalue/IP-based)、Private Hosted Zone 的关联机制、**Route 53 Resolver 的 inbound 和 outbound endpoint 完全是两回事**(inbound 让 on-prem 解析 AWS 私有域名,outbound 让 AWS 解析 on-prem 域名)、DNS firewall、DNSSEC 签名链。考试里至少有 6-8 题直接考 Resolver endpoint 方向。
第三阶段:Network Firewall + 安全服务(2 周)
AWS Network Firewall 的集中式 vs 分布式部署拓扑、有状态 vs 无状态规则组、Suricata 规则语法基础、Gateway Load Balancer + GENEVE 封装如何实现第三方防火墙透明插入。配合 WAF(rule group、rate-based rule、Bot Control、ACL capacity)、Shield Advanced、Firewall Manager 多账户策略。这部分题目少但细节多,错一题就是好几分。
第四阶段:监控、故障排查与自动化(2 周)
VPC Flow Logs 的字段含义(特别是 action/log-status/tcp-flags)+ 用 Athena 查询的 SQL 写法、Traffic Mirroring 的会话配置、Reachability Analyzer 和 Network Access Analyzer 的区别、Transit Gateway Network Manager 的拓扑可视化。动手必做:在自己账户开一个 VPC + Flow Logs 到 S3,用 Athena 查出"被 Security Group 拒绝的流量",这一题几乎每场考试都出。
第五阶段:Tutorials Dojo 模考 + 错题本(3 周)
**Jon Bonso 的 Tutorials Dojo ANS-C01 模考是唯一公认接近真题的题库**($15 左右),6 套全做完,每道错题的解析读 3 遍。目标是 3 次稳定 80% 以上才能去考。ExamTopics 上的 ANS-C01 题库可以当补充,但答案经常有错,要对照 AWS 官方文档核对。最后 1 周只做两件事:重做错题 + 看 re:Invent NET305/NET402/NET401 这三个经典演讲,它们讲的企业案例和考试场景重合度极高。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
我有 CCIE R&S,以为 ANS 就是"AWS 版的 BGP 考试",结果第一次模考被 Route 53 Resolver 虐惨。Resolver 的 inbound/outbound 方向我一直搞反,直到自己在两个 VPC 之间用 on-prem DNS server 真的搭一遍才弄明白。考试当天最难的不是 BGP 题 — 是一道 Gateway Load Balancer + Network Firewall + 第三方 IDS 串在一起的流量路径题,我画了 3 遍拓扑才选对。
别信那些"有 SAP 考 ANS 会很轻松"的鬼话。SAP 考的是架构选型,ANS 考的是配置细节 — 完全不同的考试。我 SAP 考了 821 分,ANS 裸考模考才 58%。Transit Gateway 的 association 和 propagation 这两个词我反反复复学了 3 遍才真的懂:"association 决定这个 attachment 用哪张路由表出流量;propagation 决定把这个 attachment 的 CIDR 写进哪张路由表。" 背下来没用,必须在 console 里点一遍。
ANS 中文版翻译质量非常差,Transit Gateway 翻译成"中转网关"还行,但 "route propagation" 被翻译成"路由传播"就完全失去了技术含义。我整场考试都在中英文之间切换。另一个坑是 Direct Connect 的 BGP community tag(7224:7100 / 7224:7200 / 7224:7300)— 这是决定 Public VIF 流量走哪个 region 的关键机制,但国内的备考资料几乎没讲过,必须看 AWS 官方文档的 "Using BGP Community Tags" 那一页。
考完 ANS 之后 package 从 $155K 涨到 $198K AUD,直接上了 Lead 岗。但面试的时候被问了一个非常细的问题:"如果 Transit Gateway 的两个 attachment 都指向同一个 VPC 的不同子网,流量会怎么走?" 这个在课程里基本不讲,我能答出来是因为真的在生产里踩过这个坑 — Transit Gateway 是 per-AZ attachment 的,如果 AZ 没对上流量会跨 AZ 走,产生额外费用。证书只是门票,实战经验才是让 offer 落袋的东西。
同赛道认证对比
| AWS Advanced Networking | AWS SAA考证 | AWS SAP考证 | |
|---|---|---|---|
| 机构 | AWS | AWS | AWS |
| 级别 | 专家级 | 助理级 | 专业级 |
| 考试费 | $300 | $150 | $300 |
| 时长 | 170 min | 130 min | 180 min |
| 题量 | 65 | 65 | 75 |
| 有效期 | 3 年 | 3 年 | 3 年 |
备考技巧与常见失误
**考前必须自己搭一遍 Transit Gateway hub-spoke**。不用真花钱,用 AWS Free Tier 开 3 个最小 VPC + 1 个 TGW,亲手配 association 和 propagation,用 VPC Reachability Analyzer 验证连通性。没动手过的人考场上 100% 选错路由表题。
**母语非英语考生申请 ESL +30 分钟**。ANS 虽然题干比 SAP 短,但技术名词密度高,多 30 分钟对仔细读 CIDR 列表很有帮助。Pearson VUE 预约页面的 Accommodations 栏申请。
**熟练使用 BGP community tag 速查表**:Direct Connect Public VIF 的 7224:7100 = 只宣告到本地 region;7224:7200 = 宣告到本 continent;7224:7300 = 全球宣告。考试里考到流量路径控制必用这三个。
**关键词 → 服务的肌肉记忆**:看到 "on-prem 解析 VPC 私有域名" → Route 53 Resolver inbound endpoint;看到 "集中检测 east-west 流量" → Network Firewall + GWLB + appliance mode;看到 "多 region DX" → Transit VIF + DX Gateway;看到 "第三方防火墙透明插入" → Gateway Load Balancer + GENEVE;看到 "跨账户 TGW 共享" → Resource Access Manager (RAM)。
**已有 AWS 认证可以领 50% 折扣券**。如果你持有 SAA/SAP 在有效期内,登录 AWS Certification 账户申领 voucher,ANS 考试从 $300 变成 $150。
**双语切换核对**:中文翻译在 ANS 里比 SAP 更不可靠(很多网络术语没有准确对应词),每道题都用右上角按钮切换到英文版核对一次,尤其是 "propagation"、"association"、"endpoint"、"interface" 这几个词。
**考前 1 周停刷新题,只过错题本**。ANS 的知识点细碎,最后 1 周应该做的是把错题本里"association 和 propagation 的区别"、"Private VIF vs Transit VIF"、"inbound vs outbound Resolver" 这类核心对比条目默写一遍,能闭眼写出来再去考。
**混淆 VPC Peering 和 Transit Gateway 的使用场景**。Peering 是点对点、不传递路由、跨账户/跨 region 都支持但无法做集中策略;Transit Gateway 是 hub-spoke、路由表可以做精细化分段、但每 attachment 每小时收费 + 数据处理费。考试题干里出现 "3 个以上 VPC 需要互通 + 集中化管理" 必选 TGW;出现 "只有 2 个 VPC + 最低成本" 选 Peering。经常有人看到"多 VPC"就无脑选 TGW,结果题目真正问的是 "MOST cost-effective",Peering 其实更便宜。
**BGP 路径选择顺序记错**。AWS 考试里 BGP 选路顺序不是 Cisco 那套完整的 13 步,但以下几个是必须死记硬背的优先级:**Longest Prefix Match > Static Route > DX BGP > VPN BGP**。也就是说同一个目标 CIDR,如果 DX 和 VPN 同时存在 BGP 路由,DX 永远优先;如果想让 VPN 做主、DX 做备,不能靠 BGP attribute,必须用 more specific 的 prefix 或者 AS-Path Prepending 在 DX 侧加长。这道题几乎是必考。
**Route 53 Resolver inbound 和 outbound endpoint 方向搞反**。记这句话:**"inbound 是从外面进来查 AWS 的私有域名;outbound 是从 AWS 出去查外面的域名。"** Inbound endpoint 给 on-prem 的 DNS server 一个 IP,让 on-prem 能解析 VPC 里的 .internal 私有域名;outbound endpoint 配 forwarding rule,把特定域名(比如 corp.example.com)转发到 on-prem DNS。两个方向都需要才能实现"双向混合 DNS 解析"。考试里至少 3-4 道题考这个方向。
**混合 DNS 架构里忘记 on-prem DNS forwarder 的配置方向**。很多人只记得在 AWS 这边开 Resolver endpoint,忘记 on-prem 的 DNS server(BIND/Windows DNS)也需要配 conditional forwarder 指向 inbound endpoint 的 IP。考试里经常给一个 "已经开了 inbound endpoint 但 on-prem 还是解析不了 VPC 私有域名" 的场景,正确答案是 "on-prem DNS 没有配 forwarder",不是 AWS 侧的问题。
**Direct Connect VIF 三种类型搞混**。**Private VIF** 连到 VGW 或 DX Gateway,只能访问私有 IP(VPC 内部);**Public VIF** 连到 AWS 公网服务(S3、DynamoDB、EC2 public IP),走 BGP 学公网前缀,需要 BGP community tag 控制流量范围;**Transit VIF** 只能连到 DX Gateway + Transit Gateway 组合,用于一个 DX 打通多个 region 的多个 TGW。考试里 "需要从 on-prem 直连访问 S3 + 不走公网" 的场景选 Public VIF;"一个 DX 访问 5 个 VPC" 的场景必须走 Private VIF + DX Gateway(不能直接挂 5 个 VGW,DX Gateway 就是为了解决这个而生的)。
**Network Firewall 的集中式部署忘记考虑 GWLB endpoint 和路由回流**。集中式部署里,流量从 spoke VPC 经 TGW 送到 inspection VPC,经过 Network Firewall 检测后必须原路返回。漏配 appliance mode(TGW attachment 的一个开关)会导致来回流量走不同 AZ,造成 asymmetric routing 和连接失败。appliance mode 这个词在考试里出现至少 1-2 次。
**时间分配失败**。170 分钟 / 65 题 = 2.6 分钟/题,ANS 的题干比 SAP 短但技术细节更密集,一道 Transit Gateway 路由表题可能 4 个选项都是长 CIDR 列表,看清楚就要 2 分钟。建议每 20 题看一次时间,遇到需要画拓扑的题直接 Mark + 跳过。
FAQ
常见问题
如果你准备考 AWS Advanced Networking,先从真题型练习开始。
288+ 练习题、章节学习路径、模考、错题复盘和 AI 导师都在备考页里。
进入备考页$29 起 · 前 2 章可免费试学