Is ANS-C01 the hardest AWS certification exam?

ANS-C01 is widely regarded as one of the most challenging exams in the AWS certification program. It requires deep understanding of network protocols (BGP, OSPF), AWS networking services, and hybrid network architectures. The pass rate is relatively low, and at least 2 years of hands-on AWS networking experience is recommended.

Which is more important: Transit Gateway or VPC Peering?

Both are key exam topics, but Transit Gateway has a higher weight in ANS-C01. The exam deeply tests Transit Gateway route tables, multi-account sharing, and cross-region peering connections. VPC Peering typically appears in comparison questions, testing when to choose which solution.

How deeply does the exam cover Direct Connect?

Direct Connect is a core exam topic. You need to master dedicated vs. hosted connections, virtual interface types (Private VIF, Public VIF, Transit VIF), LAG link aggregation, BGP routing policies, failover design, and redundancy architecture design with VPN.

What network protocol knowledge is required for ANS-C01?

Beyond TCP/IP fundamentals, focus on BGP (AS Path, Local Preference, MED), DNS (Route 53 routing policies, DNSSEC), and TLS/SSL. BGP routing questions are common on the exam, especially BGP configuration in Direct Connect and VPN scenarios.

Are there many Route 53 and CloudFront questions on the exam?

Yes, both Route 53 and CloudFront are high-frequency topics. Route 53 focuses on routing policies (Failover, Weighted, Latency, Geolocation), private hosted zones, and DNS resolvers. CloudFront focuses on origin configuration, cache behaviors, Lambda@Edge, and security settings.

AWS专家级🌐 网络75% pass rate

AWS Certified Advanced Networking - Specialty (ANS-C01)

验证您在 AWS 平台上设计和实施复杂网络架构的专业能力。涵盖混合网络、VPC 高级配置、网络安全与 DNS 架构等核心技能。

Start Practice Browse Learning Path

$300

Exam Fee

Questions

170m

Exam Duration

750/1000

Passing Score

Bottom line · It depends

AWS 所有 Specialty 里公认最难的一张，只有在 AWS 做混合组网、天天碰 Transit Gateway/Direct Connect/BGP 的高级网络架构师才值得考；纯应用层开发者或者不跑 AWS 的网工考了基本没用。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

All certification exam prep included
Course discounts up to 50%
AI tools & Chrome extensions
Priority 1-on-1 coaching

View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

AWS Certified Advanced Networking - Specialty（ANS-C01）在所有 AWS 认证里难度排第一，比 SAP-C02 还硬。考试 65 题、170 分钟、$300 USD，题干里 BGP AS-Path 操作、Direct Connect BGP community tag、Route 53 Resolver inbound/outbound endpoint 这类细节几乎没有"蒙对"的可能 — 你要么在生产环境真的搭过混合网络，要么就挂。

ANS-C01 在 2022 年 7 月接替 ANS-C00 上线，最大变化是去掉了 StorageGateway/WorkSpaces 这种边缘话题，把权重集中到了 Transit Gateway、Cloud WAN、Network Firewall、Gateway Load Balancer 这些 2020 年之后才 GA 的服务。考纲 4 大领域：Network Design（30%，多 VPC + 混合连接 + 全球网络）、Network Implementation（26%，VPC 高级路由 + Route 53 + ELB）、Network Management & Operations（20%，Flow Logs + Reachability Analyzer + 故障排查）、Network Security, Compliance & Governance（24%，Network Firewall + WAF + 加密传输）。

这张证的考点分布和 SAP 完全不同：SAP 考你"选哪个服务"，ANS 考你"这个服务的路由表怎么写、BGP community 怎么 tag、DNS 递归查询走哪个端点"。AWS 官方推荐 5 年以上网络实战经验 + 2 年以上 AWS 动手经验，这不是劝退话 — 是真实门槛。reddit 上通过的人普遍反馈："先拿 CCNP，再在 AWS 上跑 2 年混合网络，然后才有资格碰 ANS。" 证书有效期 3 年，到期需要重考。

You will work with

VPCTransit GatewayDirect ConnectRoute 53CloudFrontVPNNetwork FirewallGlobal AcceleratorPrivateLinkELBNetwork ACLTraffic Mirroring

After preparation

获得 AWS 官方认可的 Advanced Networking Specialty 认证
掌握多 VPC、多账户和多区域网络架构设计
熟练配置 Transit Gateway、Direct Connect 和 VPN 混合连接
具备大规模 AWS 网络的监控、排障和优化能力

Exam details

Exam Code

ANS-C01

Provider

Amazon Web Services

Duration

170 minutes

Question Count

65 questions

Passing Score

750/1000

Validity

3 years

Exam Fee

$300 USD

Question Types

Single choice, Multiple select

Languages

English, 日本語, 한국어, 简体中文

Official Page

Open AWS page

Who should take it

Good fit

设计和实施 AWS 网络架构的网络架构师
管理大规模 AWS 网络环境的高级网络工程师
负责混合云网络连接的基础设施工程师
希望深入 AWS 网络服务的解决方案架构师
已持有 AWS Associate 认证希望获得网络专项认证的学员

Before you start

至少 2 年 AWS 网络架构设计与实施经验
深入理解 VPC、子网、路由表和安全组
了解 BGP、OSPF 等动态路由协议
具备混合云网络（VPN、Direct Connect）实践经验
建议先通过 AWS Solutions Architect Associate 或 Professional 认证

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding AWS Advanced Networking.

美国

$170K-240KUSD

澳洲

$160K-215KAUD

新加坡

$140K-200KSGD

中国（一线）

¥520K-900KCNY

Senior Network Architect (AWS)Principal Cloud Network EngineerHybrid Cloud Network LeadNetwork Security ArchitectStaff Infrastructure Engineer高级云网络架构师混合云网络专家

ANS-C01 是"高薪但窄门"的典型

持 ANS-C01 的人在美国的薪资中位数大约 $180K-$195K USD，比持 SAP 的普通云架构师高 $15K-$25K/年。原因很简单：会写 Terraform 搭 Transit Gateway hub-spoke + DX Gateway + Route 53 Resolver 的人本来就少，能同时搞定 BGP 路由策略和 AWS 网络服务的更少。澳洲市场 Telstra、NAB、Woodside 这类企业的 Senior Network Architect 岗位基本把 ANS 作为 preferred qualification，package 普遍从 $170K AUD 起谈，高的能到 $215K。

但这张证的需求面非常窄。它不像 SAA/SAP 那样几乎所有云相关岗位都认 — ANS 只在三类公司有用：

有大量 on-prem 资产在迁 AWS 的传统企业（银行、电信、能源、政府）。这些公司有真实的 Direct Connect + VPN 混合组网需求，招聘时会直接列 "ANS-C01 preferred"。
AWS Professional Services / Advanced Consulting Partner。AWS 合作伙伴考评里 ANS 是加分项，有些合伙层级（Advanced/Premier）硬性要求团队里持证人数。
大型 SaaS 公司的 Platform/Infra 团队（Atlassian、Canva、Datadog）。他们跑的是多账户多 region 架构，需要懂 Transit Gateway 路由表精细控制和 PrivateLink 网格。

不适合的人群更多：

应用层开发者 / 后端工程师：日常碰不到 VPC 路由表，考下来就只能挂墙上，对薪资和晋升没帮助。应该考 DVA-C02 或 SAP-C02。
纯 on-prem 网络工程师（CCIE/CCNP）：如果你公司 AWS 用量很小，ANS 学的东西用不上，不如先升 CCIE。
DevOps/SRE：更应该考 DOP-C02（DevOps Professional），ANS 的考点和你日常的 CI/CD、observability 几乎不重叠。
小公司/创业公司工程师：创业公司一般就一个 VPC + NAT Gateway，Transit Gateway 根本用不上，ANS 的知识没有应用场景。

一个真实的 ROI 计算：ANS 考试费 $300，加上 Cantrill 课程（$40）+ Tutorials Dojo 模考（$15）+ 大约 150 小时备考时间。如果你现在做的是应用开发，考完之后工资不会涨，时间全浪费；如果你是传统企业的网络工程师要转云，这 150 小时 + $355 能让你的简历从"on-prem 网工"变成"AWS 网络架构师"，跳槽涨幅 30-50% 是常见的。ANS 是"岗位对口就极度划算，岗位不对口就极度不划算"的证，没有中间地带。

Exam domains

Use this breakdown to decide where to spend study time first instead of reading chapters evenly.

Content Distribution

30%

1. 网络设计

Network Design

Core Knowledge

VPC 架构Transit GatewayDirect Connect混合网络多账户网络IPv6 设计

26%

2. 网络实施

Network Implementation

Core Knowledge

VPNDirect Connect GatewayPrivateLinkRoute 53CloudFrontGlobal Accelerator

20%

3. 网络管理与运维

Network Management and Operations

Core Knowledge

CloudWatch 网络监控VPC Flow LogsTraffic MirroringNetwork Manager故障排除

24%

4. 网络安全、合规与治理

Network Security, Compliance, and Governance

Core Knowledge

Network FirewallWAFShieldSecurity GroupsNACLsDNS 安全

Study preparation

With hands-on AWS

10-14 weeks

From scratch

20-28 weeks

Daily pace

1.5-2 hours/day

Learning path preview

6 chapters

ANS-C01 考试概述与备考指南

45 min

网络设计

180 min

网络实施

160 min

网络管理与运维

120 min

网络安全、合规与治理

140 min

考前冲刺与实战演练

60 min

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

第零阶段：先自查网络基础（1 周）

ANS-C01 不教你 BGP 基础，默认你已经会。自查清单：能手画 BGP AS-Path 选路流程、知道 Local Preference vs MED vs AS-Path Prepending 的优先级、能解释 iBGP 和 eBGP 的区别、知道 OSPF LSA 类型。如果这些答不上来，**先去补 CCNA/CCNP 的 BGP 章节**（Jeremy's IT Lab 的免费 YouTube 课程最合适），否则后面学 Direct Connect BGP community 会完全听不懂。

第一阶段：AWS 核心网络服务（3-4 周）

按这个顺序学：VPC（CIDR 规划、路由表、ENI、Gateway Endpoint vs Interface Endpoint）→ Transit Gateway（association / propagation / 路由表设计 / 跨 region peering）→ Direct Connect（专用连接 vs 托管连接、Private/Public/Transit VIF 的场景区别、LAG、DX Gateway）→ Site-to-Site VPN（静态 vs 动态路由、加速 VPN、与 DX 的主备组合）。**Adrian Cantrill 的 ANS-C01 课程是这个阶段的首选**，他讲 Transit Gateway 路由表的部分是全网最清楚的。

第二阶段：Route 53 + 混合 DNS 深度专题（2 周）

这是 ANS 的第二大考点。必须搞清楚：Route 53 8 种路由策略的触发条件（Simple/Weighted/Latency/Failover/Geolocation/Geoproximity/Multivalue/IP-based）、Private Hosted Zone 的关联机制、**Route 53 Resolver 的 inbound 和 outbound endpoint 完全是两回事**（inbound 让 on-prem 解析 AWS 私有域名，outbound 让 AWS 解析 on-prem 域名）、DNS firewall、DNSSEC 签名链。考试里至少有 6-8 题直接考 Resolver endpoint 方向。

第三阶段：Network Firewall + 安全服务（2 周）

AWS Network Firewall 的集中式 vs 分布式部署拓扑、有状态 vs 无状态规则组、Suricata 规则语法基础、Gateway Load Balancer + GENEVE 封装如何实现第三方防火墙透明插入。配合 WAF（rule group、rate-based rule、Bot Control、ACL capacity）、Shield Advanced、Firewall Manager 多账户策略。这部分题目少但细节多，错一题就是好几分。

第四阶段：监控、故障排查与自动化（2 周）

VPC Flow Logs 的字段含义（特别是 action/log-status/tcp-flags）+ 用 Athena 查询的 SQL 写法、Traffic Mirroring 的会话配置、Reachability Analyzer 和 Network Access Analyzer 的区别、Transit Gateway Network Manager 的拓扑可视化。动手必做：在自己账户开一个 VPC + Flow Logs 到 S3，用 Athena 查出"被 Security Group 拒绝的流量"，这一题几乎每场考试都出。

第五阶段：Tutorials Dojo 模考 + 错题本（3 周）

**Jon Bonso 的 Tutorials Dojo ANS-C01 模考是唯一公认接近真题的题库**（$15 左右），6 套全做完，每道错题的解析读 3 遍。目标是 3 次稳定 80% 以上才能去考。ExamTopics 上的 ANS-C01 题库可以当补充，但答案经常有错，要对照 AWS 官方文档核对。最后 1 周只做两件事：重做错题 + 看 re:Invent NET305/NET402/NET401 这三个经典演讲，它们讲的企业案例和考试场景重合度极高。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

我有 CCIE R&S，以为 ANS 就是"AWS 版的 BGP 考试"，结果第一次模考被 Route 53 Resolver 虐惨。Resolver 的 inbound/outbound 方向我一直搞反，直到自己在两个 VPC 之间用 on-prem DNS server 真的搭一遍才弄明白。考试当天最难的不是 BGP 题 — 是一道 Gateway Load Balancer + Network Firewall + 第三方 IDS 串在一起的流量路径题，我画了 3 遍拓扑才选对。

R. Nakamura802/1000

Principal Network Engineer (Singapore) · CCIE + 3 年 AWS · 11 weeks prep

别信那些"有 SAP 考 ANS 会很轻松"的鬼话。SAP 考的是架构选型，ANS 考的是配置细节 — 完全不同的考试。我 SAP 考了 821 分，ANS 裸考模考才 58%。Transit Gateway 的 association 和 propagation 这两个词我反反复复学了 3 遍才真的懂："association 决定这个 attachment 用哪张路由表出流量；propagation 决定把这个 attachment 的 CIDR 写进哪张路由表。" 背下来没用，必须在 console 里点一遍。

M. Holloway778/1000

Cloud Network Architect (Sydney) · 已有 SAA + SAP · 14 weeks prep

ANS 中文版翻译质量非常差，Transit Gateway 翻译成"中转网关"还行，但 "route propagation" 被翻译成"路由传播"就完全失去了技术含义。我整场考试都在中英文之间切换。另一个坑是 Direct Connect 的 BGP community tag（7224:7100 / 7224:7200 / 7224:7300）— 这是决定 Public VIF 流量走哪个 region 的关键机制，但国内的备考资料几乎没讲过，必须看 AWS 官方文档的 "Using BGP Community Tags" 那一页。

某外企混合云架构师762/1000

国内某券商 · 5 年网络 + 2 年 AWS · 18 weeks prep

考完 ANS 之后 package 从 $155K 涨到 $198K AUD，直接上了 Lead 岗。但面试的时候被问了一个非常细的问题："如果 Transit Gateway 的两个 attachment 都指向同一个 VPC 的不同子网，流量会怎么走？" 这个在课程里基本不讲，我能答出来是因为真的在生产里踩过这个坑 — Transit Gateway 是 per-AZ attachment 的，如果 AZ 没对上流量会跨 AZ 走，产生额外费用。证书只是门票，实战经验才是让 offer 落袋的东西。

K. Patel815/1000

Senior Cloud Engineer → Lead Network Architect · Melbourne · 10 weeks prep

Certification comparison

	AWS Advanced Networking	AWS SAA考证	AWS SAP考证
Provider	AWS	AWS	AWS
Level	专家级	助理级	专业级
Fee	$300	$150	$300
Duration	170 min	130 min	180 min
Question count	65	65	75
Validity	3 yrs	3 yrs	3 yrs

Study tips and common mistakes

💡

**考前必须自己搭一遍 Transit Gateway hub-spoke**。不用真花钱，用 AWS Free Tier 开 3 个最小 VPC + 1 个 TGW，亲手配 association 和 propagation，用 VPC Reachability Analyzer 验证连通性。没动手过的人考场上 100% 选错路由表题。

💡

**母语非英语考生申请 ESL +30 分钟**。ANS 虽然题干比 SAP 短，但技术名词密度高，多 30 分钟对仔细读 CIDR 列表很有帮助。Pearson VUE 预约页面的 Accommodations 栏申请。

💡

**熟练使用 BGP community tag 速查表**：Direct Connect Public VIF 的 7224:7100 = 只宣告到本地 region；7224:7200 = 宣告到本 continent；7224:7300 = 全球宣告。考试里考到流量路径控制必用这三个。

💡

**关键词 → 服务的肌肉记忆**：看到 "on-prem 解析 VPC 私有域名" → Route 53 Resolver inbound endpoint；看到 "集中检测 east-west 流量" → Network Firewall + GWLB + appliance mode；看到 "多 region DX" → Transit VIF + DX Gateway；看到 "第三方防火墙透明插入" → Gateway Load Balancer + GENEVE；看到 "跨账户 TGW 共享" → Resource Access Manager (RAM)。

💡

**已有 AWS 认证可以领 50% 折扣券**。如果你持有 SAA/SAP 在有效期内，登录 AWS Certification 账户申领 voucher，ANS 考试从 $300 变成 $150。

💡

**双语切换核对**：中文翻译在 ANS 里比 SAP 更不可靠（很多网络术语没有准确对应词），每道题都用右上角按钮切换到英文版核对一次，尤其是 "propagation"、"association"、"endpoint"、"interface" 这几个词。

💡

**考前 1 周停刷新题，只过错题本**。ANS 的知识点细碎，最后 1 周应该做的是把错题本里"association 和 propagation 的区别"、"Private VIF vs Transit VIF"、"inbound vs outbound Resolver" 这类核心对比条目默写一遍，能闭眼写出来再去考。

⚠️

**混淆 VPC Peering 和 Transit Gateway 的使用场景**。Peering 是点对点、不传递路由、跨账户/跨 region 都支持但无法做集中策略；Transit Gateway 是 hub-spoke、路由表可以做精细化分段、但每 attachment 每小时收费 + 数据处理费。考试题干里出现 "3 个以上 VPC 需要互通 + 集中化管理" 必选 TGW；出现 "只有 2 个 VPC + 最低成本" 选 Peering。经常有人看到"多 VPC"就无脑选 TGW，结果题目真正问的是 "MOST cost-effective"，Peering 其实更便宜。

⚠️

**BGP 路径选择顺序记错**。AWS 考试里 BGP 选路顺序不是 Cisco 那套完整的 13 步，但以下几个是必须死记硬背的优先级：**Longest Prefix Match > Static Route > DX BGP > VPN BGP**。也就是说同一个目标 CIDR，如果 DX 和 VPN 同时存在 BGP 路由，DX 永远优先；如果想让 VPN 做主、DX 做备，不能靠 BGP attribute，必须用 more specific 的 prefix 或者 AS-Path Prepending 在 DX 侧加长。这道题几乎是必考。

⚠️

**Route 53 Resolver inbound 和 outbound endpoint 方向搞反**。记这句话：**"inbound 是从外面进来查 AWS 的私有域名；outbound 是从 AWS 出去查外面的域名。"** Inbound endpoint 给 on-prem 的 DNS server 一个 IP，让 on-prem 能解析 VPC 里的 .internal 私有域名；outbound endpoint 配 forwarding rule，把特定域名（比如 corp.example.com）转发到 on-prem DNS。两个方向都需要才能实现"双向混合 DNS 解析"。考试里至少 3-4 道题考这个方向。

⚠️

**混合 DNS 架构里忘记 on-prem DNS forwarder 的配置方向**。很多人只记得在 AWS 这边开 Resolver endpoint，忘记 on-prem 的 DNS server（BIND/Windows DNS）也需要配 conditional forwarder 指向 inbound endpoint 的 IP。考试里经常给一个 "已经开了 inbound endpoint 但 on-prem 还是解析不了 VPC 私有域名" 的场景，正确答案是 "on-prem DNS 没有配 forwarder"，不是 AWS 侧的问题。

⚠️

**Direct Connect VIF 三种类型搞混**。**Private VIF** 连到 VGW 或 DX Gateway，只能访问私有 IP（VPC 内部）；**Public VIF** 连到 AWS 公网服务（S3、DynamoDB、EC2 public IP），走 BGP 学公网前缀，需要 BGP community tag 控制流量范围；**Transit VIF** 只能连到 DX Gateway + Transit Gateway 组合，用于一个 DX 打通多个 region 的多个 TGW。考试里 "需要从 on-prem 直连访问 S3 + 不走公网" 的场景选 Public VIF；"一个 DX 访问 5 个 VPC" 的场景必须走 Private VIF + DX Gateway（不能直接挂 5 个 VGW，DX Gateway 就是为了解决这个而生的）。

⚠️

**Network Firewall 的集中式部署忘记考虑 GWLB endpoint 和路由回流**。集中式部署里，流量从 spoke VPC 经 TGW 送到 inspection VPC，经过 Network Firewall 检测后必须原路返回。漏配 appliance mode（TGW attachment 的一个开关）会导致来回流量走不同 AZ，造成 asymmetric routing 和连接失败。appliance mode 这个词在考试里出现至少 1-2 次。

⚠️

**时间分配失败**。170 分钟 / 65 题 = 2.6 分钟/题，ANS 的题干比 SAP 短但技术细节更密集，一道 Transit Gateway 路由表题可能 4 个选项都是长 CIDR 列表，看清楚就要 2 分钟。建议每 20 题看一次时间，遇到需要画拓扑的题直接 Mark + 跳过。

FAQ

Frequently Asked Questions

If you plan to take AWS Advanced Networking, start with real practice.

288+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $29 · 2 free chapters

AWS Certified Advanced Networking - Specialty (ANS-C01)

JR Academy Membership

What this certification covers

You will work with

After preparation

Exam details

Who should take it

Good fit

Before you start

Is it worth it? Career value

Exam domains

Content Distribution

1. 网络设计

2. 网络实施

3. 网络管理与运维

4. 网络安全、合规与治理

Study preparation

With hands-on AWS

From scratch

Daily pace

Learning path preview

Step-by-step preparation

第零阶段：先自查网络基础（1 周）

第一阶段：AWS 核心网络服务（3-4 周）

第二阶段：Route 53 + 混合 DNS 深度专题（2 周）

第三阶段：Network Firewall + 安全服务（2 周）

第四阶段：监控、故障排查与自动化（2 周）

第五阶段：Tutorials Dojo 模考 + 错题本（3 周）

Real test-taker experiences

Certification comparison

Study tips and common mistakes

FAQ

Frequently Asked Questions

If you plan to take AWS Advanced Networking, start with real practice.

Related certifications

AWS SAA考证

AWS SAP考证

Cisco CCNA