AWS Certified Advanced Networking Specialty
275 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
Die AWS Certified Advanced Networking Specialty (ANS-C01) ist das umfassendste Netzwerk-Zertifikat, das AWS anbietet, und gilt weithin als eine der anspruchsvolleren Zertifizierungen aller Cloud-Anbieter. Es bestätigt die Fähigkeit, komplexe AWS-Netzwerkarchitekturen zu entwerfen, zu implementieren und zu betreiben – einschließlich Hybrid-Konnektivität, Multi-Region-Transit, erweiterten DNS-Diensten, Edge-Services und Sicherheit auf der Netzwerkebene. Die Prüfung richtet sich an leitende Netzwerktechniker, Cloud-Netzwerkarchitekten und Infrastrukturtechniker mit mehrjähriger AWS- und traditioneller Netzwerkerfahrung. Erwarten Sie lange, szenariobasierte Fragen, die VPC, Transit Gateway, Direct Connect, Route 53, CloudFront, Global Accelerator und Network Firewall auf eine Weise kombinieren, die oft eine objektiv richtige Antwort hat. ANS-C01 wurde im Juli 2022 eingeführt, ersetzt ANS-C00 und ist konzeptuell (keine praktischen Labs).
Die größte Domäne mit 30 %. VPC-Topologie-Optionen, Hub-and-Spoke mit Transit Gateway, Multi-Region-Muster, Auswahl der Hybrid-Konnektivität (Direct Connect vs. Site-to-Site VPN vs. Cloud WAN) und DNS-Architektur mit Route 53 Resolver. Prüft eher das architektonische Urteilsvermögen als das Servicewissen.
BGP-Konfiguration auf Direct Connect und Site-to-Site VPN, Transit Gateway-Routentabellen und -Propagation, VPC Peering und PrivateLink sowie IPv6-Bereitstellung. Häufiger Stolperstein: nuancierte BGP-Pfadauswahl und AS-PATH-Prepend.
VPC Flow Logs, Reachability Analyzer, Network Access Analyzer, Transit Gateway Network Manager und CloudWatch-Metriken für Netzwerke. Prüft die praktische operative Kompetenz.
AWS Network Firewall, Sicherheitsgruppen vs. NACLs, WAF, Shield, Resolver DNS Firewall und zentralisierte Inspektionsmuster mit Gateway Load Balancer. Oft übersehen: die genaue Verkehrsflusssequenz durch GWLB-basierte Inspektions-VPCs.
Services, die Sie in der Prüfung antreffen, und warum jeder davon wichtig ist.
Logisch isoliertes virtuelles Netzwerk mit Subnetzen, Routing-Tabellen, NACLs, Sicherheitsgruppen, Internet-Gateway, NAT-Gateway und VPC-Peering als Bausteine.
Warum er in der Prüfung steht: Jedes ANS-C01-Szenario zu Netzwerkdesign und Netzwerkimplementierung beginnt mit der VPC-Topologie – CIDR-Dimensionierung, Multi-AZ-Subnetze und Routing-Tabellen-Zielkonfiguration sind grundlegende Prüfungsfragen.
Regionaler Netzwerk-Transit-Hub, der Tausende von VPCs und lokalen Netzwerken über Attachments und Transit-Gateway-Routing-Tabellen sowie Inter-Region-Peering miteinander verbindet.
Warum er in der Prüfung steht: Fragen zum Netzwerkdesign zu Hub-and-Spoke, Segmentierung und dem Ersatz von Full-Mesh-VPC-Peering in großem Maßstab nennen Transit Gateway als die kanonische Antwort.
Dedizierte private 1/10/100-Gbit/s-Verbindungen zu AWS mit privaten, öffentlichen und Transit-VLANs, BGP-Peering, Jumbo Frames und Direct Connect Gateway für Multi-Region-Erreichbarkeit.
Warum er in der Prüfung steht: Die Netzwerkimplementierung prüft Abwägungen bei Hybridkonnektivität – Direct Connect vs. VPN, LAG-Bündelung, MACsec und BGP-Pfadmanipulation sind Prüfungsstandards.
IPsec-Tunnel (statisch oder BGP), die auf einem Virtual Private Gateway oder Transit Gateway für Site-to-Site enden; OpenVPN-basierter verwalteter Endpunkt mit mTLS- oder SAML-Authentifizierung für Client VPN.
Warum er in der Prüfung steht: Fragen zur Hybridkonnektivität bewerten VPN-Backup-zu-Direct-Connect, ECMP-gebündelte Tunnel und Accelerated-VPN-Optionen – alles wird unter Netzwerkimplementierung geprüft.
Verwaltetes globales WAN, das VPC-, Direct Connect-, VPN- und SD-WAN-Attachments unter einem einzigen Core-Netzwerk mit richtliniengesteuerter Segmentierung und Routing vereint.
Warum er in der Prüfung steht: Netzwerkdesign-Szenarien für globale Multi-Region-Topologien nennen Cloud WAN zunehmend als moderne Alternative zu zusammengeschalteten Transit Gateways mit TGW-Peering.
Autoritativer DNS-Dienst mit gewichtetem/Latenz-/Geolocation-/Failover-Routing sowie dem Resolver-Dienst, der Inbound- und Outbound-Endpunkte für hybrides DNS zwischen VPCs und lokalen Umgebungen betreibt.
Warum er in der Prüfung steht: Die hybride DNS-Auflösung (Weiterleitungsregeln, bedingte Weiterleitungen, private gehostete Zonen) ist ein wiederkehrendes Muster im Netzwerkdesign und der Implementierung auf ANS-C01.
Private Konnektivität zwischen VPCs, AWS-Diensten und lokalen Umgebungen über Interface-VPC-Endpunkte (ENIs) und Gateway Load Balancer-Endpunkte – der Datenverkehr bleibt im AWS-Backbone.
Warum er in der Prüfung steht: Designfragen zur Bereitstellung von Diensten über Konten hinweg oder zur Entfernung öffentlicher Internetpfade zu AWS-APIs werden mit PrivateLink + VPC-Endpunkten beantwortet, wobei zwischen Gateway- und Interface-Endpunkten unterschieden wird.
Globales CDN mit über 600 Edge-Standorten, Origin-Failover, benutzerdefinierten Origins (S3, ALB, MediaPackage), CloudFront Functions / Lambda@Edge für die Anforderungs-/Antwortbearbeitung und Feldverschlüsselung.
Warum er in der Prüfung steht: Edge-Delivery-Szenarien im Netzwerkdesign – Origin Shielding, signierte URLs, CloudFront-zu-privatem-Origin über OAC und POP-Auswahl – werden intensiv geprüft.
Drei L4/L7-Lastenausgleichstypen: ALB für HTTP(S)-Routing und WAF-Integration, NLB für L4 mit extrem niedriger Latenz und statische IPs, GWLB zum transparenten Einfügen von Appliance-Flotten über GENEVE.
Warum er in der Prüfung steht: Die Wahl zwischen ALB und NLB für Protokoll/Skalierung und GWLB für das Einfügen von Inline-Firewalls ist eines der häufigsten Distraktor-Muster bei Prüfungsfragen zur Netzwerkimplementierung.
Anycast-IP-Einstiegspunkte, die das globale AWS-Backbone nutzen, um den nächstgelegenen fehlerfreien regionalen Endpunkt (ALB, NLB, EC2 oder Elastic IP) zu erreichen, mit Failover in unter einer Minute und Traffic-Dial-Steuerung.
Warum er in der Prüfung steht: Netzwerkdesign-Fragen, die Global Accelerator (TCP/UDP auf L4, statische Anycast-IPs) von CloudFront (HTTP-Caching auf L7) unterscheiden, sind ein Prüfungsstandard.
Verwaltete Stateful-Firewall mit Suricata-kompatiblen Regelgruppen, Deep Packet Inspection, TLS-Inspektion und zentraler Bereitstellung über Firewall Manager.
Warum er in der Prüfung steht: East-West- und Egress-Inspektionsmuster unter Netzwerksicherheit nennen Network Firewall als die verwaltete Alternative zu selbst gehosteten Appliances hinter GWLB.
L7-Web-Application-Firewall, die an CloudFront, ALB, API Gateway, AppSync oder App Runner angebunden wird – mit verwalteten Regelgruppen, Ratenbegrenzung, Bot-Kontrolle und CAPTCHA.
Warum er in der Prüfung steht: Netzwerksicherheitsfragen zu OWASP Top-10-Minderung, anwendungsschichtiger Ratenbegrenzung und Bot-Management am Edge nennen WAF als die Antwort.
DDoS-Schutz auf Abonnement-Basis mit dem Shield Response Team (SRT), L3/L4/L7-Mitigationen, Kostenschutz-Erstattungen für Skalierung unter Angriff und globalen Bedrohungs-Dashboards.
Warum er in der Prüfung steht: Domäne 4 (Netzwerksicherheit, Compliance und Governance) prüft Shield Advanced für anhaltende DDoS-Resilienz auf internetzugänglichen CloudFront, Route 53, Global Accelerator und ELB.
REST / HTTP / WebSocket-APIs mit der Private-Endpoint-Variante, die nur über Interface-VPC-Endpunkte verfügbar ist, plus Ressourcenrichtlinien zur Einschränkung von Aufrufern nach VPC, Konto oder Quell-IP.
Warum er in der Prüfung steht: Die Bereitstellung interner APIs für andere Konten oder lokale Umgebungen ohne Internet-Egress ist ein Netzwerkdesign-Szenario, das auf privatem API Gateway + PrivateLink-Verdrahtung beruht.
Flow Logs erfassen 5-Tupel-Metadaten für akzeptierten/abgelehnten Datenverkehr an CloudWatch Logs, S3 oder Kinesis Data Firehose; Traffic Mirroring kopiert vollständige L2-Paketströme von ENIs zu einem Ziel-NLB oder ENI für IDS / Forensik.
Warum er in der Prüfung steht: Fragen zu Netzwerkmanagement und -betrieb zur Fehlerbehebung bei der Erreichbarkeit und zur paketbasierten Forensik unterscheiden Flow Logs (Metadaten) von Traffic Mirroring (vollständige Nutzlast).
Envoy-basierte Service-Mesh-Steuerungsebene mit East-West-Traffic-Policies, Retries und Observability; Cloud Map bietet das zugrunde liegende Service-Discovery-Registry (DNS oder API).
Warum er in der Prüfung steht: Netzwerkdesignfragen für Microservices zu Traffic Shaping, Canary Releases und Service Discovery über ECS/EKS/EC2-Flotten hinweg nennen App Mesh + Cloud Map als die AWS-native Antwort.
IAM-Benutzer/Rollen/Richtlinien plus ressourcenbasierte Richtlinien auf VPC-Endpunkten, Transit Gateway und Route 53 Resolver-Regeln; AWS Resource Access Manager (RAM) teilt Subnetze, TGWs und Resolver-Regeln kontoübergreifend.
Warum er in der Prüfung steht: Domäne 4 Governance-Fragen zu kontoübergreifendem VPC-Sharing, Endpunkt-Service-Principals und Least-Privilege für Netzwerkadministratoren basieren auf IAM + RAM.
Verwaltete kryptografische Schlüssel, die zum Verschlüsseln von an S3 gelieferten Flow Logs, Secrets für Site-to-Site VPN Pre-Shared Keys, MACsec-Schlüsseln für Direct Connect und CloudFront-Feldverschlüsselungsschlüsseln verwendet werden.
Warum er in der Prüfung steht: Compliance-Szenarien in Domäne 4 nennen KMS als die Antwort für die Verschlüsselung erfasster Netzwerktelemetriedaten im Ruhezustand und die Rotation von PSKs / MACsec CKNs ohne Dienstunterbrechung.
Single-Pane-of-Glass-Konsole und APIs für Transit Gateway, Cloud WAN, Direct Connect und SD-WAN-Partner – für Ereignisse, Routenanalyse, Network Access Analyzer-Integration und Topologievisualisierung.
Warum er in der Prüfung steht: Fragen zum Netzwerkmanagement und -betrieb zur globalen Topologievisualisierung, Routenanalyse und proaktiven Ereigniserkennung nennen Network Manager als die Betriebsoberfläche.
Kontoübergreifendes Audit-Log jedes Netzwerk-Control-Plane-API-Aufrufs – wer ein TGW angehängt, eine Routing-Tabelle geändert oder eine Peering-Verbindung erstellt hat.
Warum er in der Prüfung steht: Domäne 4 Compliance-Fragen nennen CloudTrail als das unveränderliche Protokoll, das für die Änderungszuweisung an VPCs, TGWs, Sicherheitsgruppen und Resolver-Regeln benötigt wird.
$135k–$190k–$280k USD jährlich
Die Spanne umfasst mittlere bis leitende Cloud-Netzwerkrollen in den USA, für die AWS-Kenntnisse erforderlich sind. Erstklassige Finanzdienstleister, FAANG und große Unternehmens-Hub-Teams überschreiten häufig 330.000 USD Gesamtkompensation. Einstiegstitel als "Netzwerktechniker" in Märkten außerhalb der Küstenregionen liegen unter dem unteren Ende. Die Advanced Networking Specialty erzielt zuverlässig einen Aufschlag, da der Kandidatenpool klein ist.
Quelle: levels.fyi 2025–2026 Rollen für Cloud Network Engineers, U.S. BLS OEWS May 2024 (15-1241 Computer-Netzwerkarchitekten, 15-1244 Netzwerk- und Computersystemarchitekten). Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
Cloud-Networking ist eines der kleineren, aber gefragtesten Spezialgebiete bei AWS-Einstellungen. Die Nachfrage konzentriert sich auf große Unternehmen, Finanzdienstleister, regulierte Branchen und Cloud-native SaaS-Unternehmen mit komplexen Multi-Region- oder Hybridarchitekturen. Personalvermittler nutzen ANS-C01 als glaubwürdiges Signal dafür, dass ein Kandidat nicht-triviale AWS-Netzwerke entwerfen und betreiben kann – der Kandidatenpool mit sowohl AWS-Tiefe als auch BGP/DNS-Fließfähigkeit ist tatsächlich klein. Es passt natürlich zu SAA-C03 oder SAP-C02 und zur Security Specialty (SCS-C03) für leitende Infrastrukturrollen. Die Zertifizierung qualifiziert Kandidaten NICHT allein für Positionen auf Chief-Architect-Niveau; diese erfordern umfassendere Systemdesign- und Führungserfahrung.
Es gibt keine formalen Voraussetzungen. AWS empfiehlt mindestens 5 Jahre Netzwerkerfahrung (einschließlich praktischer Produktionsnetzwerke mit Routing und Switching) und mindestens 2 Jahre praktische AWS-Erfahrung.
Die meisten Kandidaten nähern sich ANS-C01 nach SAA-C03 oder SAP-C02 für die architektonische AWS-Grundlage. Die größere Lücke ist die traditionelle Netzwerktiefe: Kandidaten ohne fundierte BGP-, OSPF-, IPSec- und DNS-Kenntnisse sollten mit erheblichem zusätzlichem Lernaufwand rechnen, da die Prüfung eine grundlegende Netzwerkkompetenz voraussetzt, die weit über das hinausgeht, was die Associate-Prüfungen testen. Eine funktionierende persönliche Direct Connect-Simulation (unter Verwendung von Site-to-Site VPN mit BGP), ein Multi-Region Transit Gateway Lab und der Aufbau einer Gateway Load Balancer Inspektions-VPC sind die Vorbereitungsartefakte mit dem höchsten ROI.
ANS-C01 ist als Specialty eingestuft und gilt weithin als eine der schwierigsten AWS-Prüfungen. Planen Sie 100–160 Stunden über 12–16 Wochen für Kandidaten mit fundierten traditionellen Netzwerkgrundlagen und AWS-Erfahrung; 200–280+ Stunden für Kandidaten, denen eine dieser Grundlagen fehlt. Die Prüfung besteht aus 65 bewerteten Fragen in 170 Minuten – Multiple-Choice und Multiple-Response, keine Labs. Zeitdruck ist real, da das Lesen und Verfolgen von Netzwerkdiagrammen in Szenariofragen langsam ist.
Häufige Stolpersteine sind nuanciertes BGP-Verhalten über Direct Connect (LOCAL_PREF, AS_PATH, MED, Communities), Transit Gateway-Routentabellen-Propagation vs. Assoziation, Edge Cases bei der hybriden DNS-Auflösung mit Route 53 Resolver Inbound- und Outbound-Endpunkten sowie zentralisierte Inspektions-Traffic-Flows mit Gateway Load Balancer. Auch subtile PrivateLink- und VPC-Endpunktrichtlinieninteraktionen treten immer wieder auf.
Aktuelle Version. Modernisierte Abdeckung von Transit Gateway, Cloud WAN, Network Firewall, Gateway Load Balancer und modernen Hybrid-DNS-Mustern. Ersetzte ANS-C00.
Ursprüngliche Advanced Networking Specialty. 2022 eingestellt; Ära vor der Reifung von Transit Gateway.
ANS-C01 (AWS Certified Advanced Networking Specialty) ist eine eine stark spezialisierte Prüfung, die fortgeschrittene Themen in einem engen Bereich abdeckt – praktische Erfahrung wird als Voraussetzung erwartet Specialty-Level-Prüfung. Die meisten Kandidaten benötigen 100–200 Stunden Lernzeit, verteilt über 2–4 Monate, für Spezialprüfungen. Diese setzen praktische Erfahrung im Spezialgebiet voraus. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 100–200 Stunden Lernzeit, verteilt über 2–4 Monate, für Spezialprüfungen. Diese setzen praktische Erfahrung im Spezialgebiet voraus. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
ANS-C01 ist ein anerkanntes Zeugnis im AWS-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit AWS arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für ANS-C01 beträgt 750 / 1000. Die Prüfung enthält 65 Fragen und dauert 2 Std 50 Min.
Die Prüfungsgebühr für ANS-C01 beträgt $300 USD. Die Gebühren werden von AWS festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen AWS Zertifizierungsseite, bevor Sie buchen.
AWS-Zertifizierungen sind 3 Jahre gültig. Rezertifizieren Sie sich, indem Sie die aktuelle Version derselben Prüfung bestehen oder eine Prüfung auf höherem Niveau im selben Pfad vor Ablauf bestehen.
Ja. Sie können die Prüfung online (über den sicheren Browser des Anbieters, in den meisten Regionen rund um die Uhr verfügbar) oder in einem persönlichen Pearson VUE Testzentrum während der Geschäftszeiten ablegen. Beide Formate verwenden die gleichen Fragen, Zeitlimits und Bestehensgrenzen.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für ANS-C01. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 65 Fragen in 2 Std 50 Min, mit der gleichen Bestehensschwelle von 750 / 1000. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.