AWS Certified Advanced Networking Specialty
275 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
La AWS Certified Advanced Networking Specialty (ANS-C01) es la credencial de redes más profunda que ofrece AWS y es ampliamente considerada una de las certificaciones más desafiantes entre cualquier proveedor de la nube. Valida la capacidad de diseñar, implementar y operar arquitecturas de red complejas en AWS, incluyendo conectividad híbrida, tránsito multirregión, DNS avanzado, servicios de borde y seguridad en la capa de red. El examen está dirigido a ingenieros de redes senior, arquitectos de redes en la nube e ingenieros de infraestructura con varios años de experiencia en AWS y redes tradicionales. Espere preguntas largas y basadas en escenarios que combinan VPC, Transit Gateway, Direct Connect, Route 53, CloudFront, Global Accelerator y Network Firewall de maneras que a menudo tienen una respuesta objetivamente correcta. ANS-C01 se lanzó en julio de 2022, reemplazando a ANS-C00, y es conceptual (sin laboratorios prácticos).
El dominio más grande, con un 30%. Opciones de topología de VPC, hub-and-spoke con Transit Gateway, patrones multirregión, selección de conectividad híbrida (Direct Connect vs. Site-to-Site VPN vs. Cloud WAN) y arquitectura DNS con Route 53 Resolver. Evalúa más el juicio arquitectónico que el conocimiento del servicio.
Configuración de BGP en Direct Connect y Site-to-Site VPN, tablas de rutas y propagación de Transit Gateway, peering de VPC y PrivateLink, e implementación de IPv6. Obstáculo común: selección de rutas BGP matizada y AS-PATH prepending.
VPC Flow Logs, Reachability Analyzer, Network Access Analyzer, Transit Gateway Network Manager y métricas de CloudWatch para redes. Evalúa la fluidez operativa práctica.
AWS Network Firewall, grupos de seguridad vs. NACLs, WAF, Shield, Resolver DNS Firewall y patrones de inspección centralizada con Gateway Load Balancer. A menudo se pasa por alto: la secuencia precisa del flujo de tráfico a través de VPC de inspección basadas en GWLB.
Servicios que encontrarás en el examen y por qué cada uno importa.
Red virtual lógicamente aislada con subredes, tablas de enrutamiento, NACL, grupos de seguridad, Internet Gateway, NAT Gateway y VPC peering como bloques de construcción.
Por qué está en el examen: Cada escenario de Diseño de Red e Implementación de Red de ANS-C01 comienza con la topología de VPC; el tamaño de CIDR, las subredes multi-AZ y la selección de tablas de enrutamiento son los fundamentos de las preguntas.
Hub de tránsito de red regional que interconecta miles de VPC y redes on-prem a través de attachments y tablas de enrutamiento de Transit Gateway, con peering entre regiones.
Por qué está en el examen: Las preguntas de Diseño de Red sobre hub-and-spoke, segmentación y reemplazo de VPC peering de malla completa a escala nombran a Transit Gateway como la respuesta canónica.
Circuitos privados dedicados de 1/10/100 Gbps a AWS con interfaces virtuales privadas, públicas y de tránsito, peering BGP, jumbo frames y Direct Connect Gateway para alcance multirregional.
Por qué está en el examen: Las pruebas de Implementación de Red evalúan los compromisos de conectividad híbrida — Direct Connect vs VPN, la agrupación de LAG, MACsec y la manipulación de rutas BGP son elementos básicos del examen.
Túneles IPsec (estáticos o BGP) que terminan en un Virtual Private Gateway o Transit Gateway para site-to-site; endpoint gestionado basado en OpenVPN con autenticación mTLS o SAML para Client VPN.
Por qué está en el examen: Las preguntas de conectividad híbrida sopesan las opciones de VPN de respaldo a Direct Connect, túneles agrupados por ECMP y VPN acelerada, todas evaluadas bajo Implementación de Red.
WAN global gestionada que unifica attachments de VPC, Direct Connect, VPN y SD-WAN bajo una única red central con segmentación y enrutamiento basados en políticas.
Por qué está en el examen: Los escenarios de Diseño de Red para topologías globales multirregionales citan cada vez más a Cloud WAN como la alternativa moderna a las Transit Gateways interconectadas con TGW peering.
DNS autoritativo con enrutamiento ponderado/latencia/geolocalización/failover más el servicio Resolver que ejecuta endpoints de entrada y salida para DNS híbrido entre VPC y on-prem.
Por qué está en el examen: La resolución de DNS híbrido (reglas de reenvío, reenviadores condicionales, zonas alojadas privadas) es un patrón recurrente de Diseño e Implementación de Red en ANS-C01.
Conectividad privada entre VPC, servicios de AWS y on-prem a través de interface VPC endpoints (ENI) y Gateway Load Balancer endpoints — mantiene el tráfico en la columna vertebral de AWS.
Por qué está en el examen: Las preguntas de diseño sobre la exposición de servicios entre cuentas o la eliminación de rutas públicas de Internet a las API de AWS responden a PrivateLink + VPC endpoints, con distinciones entre Gateway y Interface endpoint.
CDN global con más de 600 ubicaciones perimetrales, failover de origen, orígenes personalizados (S3, ALB, MediaPackage), CloudFront Functions / Lambda@Edge para manipulación de solicitudes/respuestas y cifrado a nivel de campo.
Por qué está en el examen: Los escenarios de entrega perimetral bajo Diseño de Red — protección de origen, URL firmadas, CloudFront a origen privado a través de OAC y selección de POP — se evalúan intensamente.
Tres tipos de balanceadores de carga L4/L7: ALB para enrutamiento HTTP(S) e integración con WAF, NLB para L4 de latencia ultrabaja e IPs estáticas, GWLB para insertar flotas de appliances transparentes a través de GENEVE.
Por qué está en el examen: Elegir ALB vs NLB por protocolo/escala, y GWLB para la inserción de firewalls en línea, es uno de los patrones de distractor de Implementación de Red más comunes en el examen.
Puntos de entrada IP Anycast que utilizan la columna vertebral global de AWS hasta el endpoint regional saludable más cercano (ALB, NLB, EC2 o Elastic IP), con failover en menos de un minuto y controles de tráfico.
Por qué está en el examen: Las preguntas de Diseño de Red que distinguen Global Accelerator (TCP/UDP en L4, IPs Anycast estáticas) de CloudFront (caching HTTP en L7) son un elemento básico del examen.
Firewall de estado gestionado con grupos de reglas compatibles con Suricata, inspección profunda de paquetes, inspección TLS y despliegue centralizado a través de Firewall Manager.
Por qué está en el examen: Los patrones de inspección este-oeste y de egreso bajo Seguridad de Red citan a Network Firewall como la alternativa gestionada a los appliances autoalojados detrás de GWLB.
Web Application Firewall L7 que se adjunta a CloudFront, ALB, API Gateway, AppSync o App Runner — grupos de reglas gestionados, limitación de velocidad, control de bots y CAPTCHA.
Por qué está en el examen: Las preguntas de Seguridad de Red sobre mitigación del OWASP Top-10, limitación de velocidad a nivel de aplicación y gestión de bots en el perímetro nombran a WAF como la respuesta.
Protección DDoS de nivel de suscripción con el Shield Response Team (SRT), mitigaciones L3/L4/L7, reembolsos de protección de costos por escalado bajo ataque y paneles de amenazas globales.
Por qué está en el examen: El Dominio 4 (Seguridad de Red, Cumplimiento y Gobernanza) evalúa Shield Advanced para la resiliencia sostenida ante DDoS en CloudFront, Route 53, Global Accelerator y ELB orientados a Internet.
API REST / HTTP / WebSocket con la variante de private endpoint expuesta solo a través de interface VPC endpoints, más políticas de recursos para restringir las llamadas por VPC, cuenta o IP de origen.
Por qué está en el examen: Exponer API internas a otras cuentas o on-prem sin egreso a Internet es un escenario de Diseño de Red que depende del cableado de private API Gateway + PrivateLink.
Flow Logs captura metadatos de 5-tuplas para tráfico aceptado/rechazado en CloudWatch Logs, S3 o Kinesis Data Firehose; Traffic Mirroring copia flujos completos de paquetes L2 de ENI a un NLB o ENI de destino para IDS / forensia.
Por qué está en el examen: Las preguntas de Gestión y Operaciones de Red sobre la resolución de problemas de alcanzabilidad y la forensia a nivel de paquete distinguen Flow Logs (metadatos) de Traffic Mirroring (carga útil completa).
Plano de control de malla de servicios basado en Envoy con políticas de tráfico este-oeste, reintentos y observabilidad; Cloud Map proporciona el registro de descubrimiento de servicios subyacente (DNS o API).
Por qué está en el examen: Las preguntas de diseño de redes de microservicios sobre modelado de tráfico, lanzamientos canary y descubrimiento de servicios en flotas ECS/EKS/EC2 citan a App Mesh + Cloud Map como la respuesta nativa de AWS.
Usuarios/roles/políticas de IAM más políticas basadas en recursos en VPC endpoints, Transit Gateway y reglas de Route 53 Resolver; AWS Resource Access Manager (RAM) comparte subredes, TGW y reglas de resolver entre cuentas.
Por qué está en el examen: Las preguntas de gobernanza del Dominio 4 sobre el intercambio de VPC entre cuentas, los principales de servicio de endpoint y el mínimo privilegio para administradores de red se anclan en IAM + RAM.
Claves criptográficas gestionadas utilizadas para cifrar Flow Logs entregados a S3, secretos que respaldan las claves precompartidas de Site-to-Site VPN, claves MACsec para Direct Connect y claves de cifrado a nivel de campo de CloudFront.
Por qué está en el examen: Los escenarios de cumplimiento en el Dominio 4 citan a KMS como la respuesta para cifrar la telemetría de red capturada en reposo y rotar PSK / CKN de MACsec sin interrupción del servicio.
Consola y API de "single-pane-of-glass" para Transit Gateway, Cloud WAN, Direct Connect y socios de SD-WAN — eventos, análisis de rutas, integración con Network Access Analyzer y visualización de topología.
Por qué está en el examen: Las preguntas de Gestión y Operaciones de Red sobre visualización de topología global, análisis de rutas y detección proactiva de eventos nombran a Network Manager como la superficie de operaciones.
Registro de auditoría a nivel de cuenta de cada llamada a la API del plano de control de red — quién adjuntó un TGW, quién modificó una tabla de enrutamiento, quién creó una conexión de peering.
Por qué está en el examen: Las preguntas de cumplimiento del Dominio 4 citan a CloudTrail como el registro inmutable necesario para la atribución de cambios en VPC, TGW, grupos de seguridad y reglas de Resolver.
$135k–$190k–$280k USD anual
El rango cubre roles de redes en la nube de nivel medio a senior con sede en EE. UU. donde se requiere competencia en AWS. Los equipos de servicios financieros de primer nivel, FAANG y grandes empresas a menudo superan los $330k de compensación total. Los títulos de "ingeniero de redes" de nivel de entrada en mercados no costeros caen por debajo del límite inferior. La especialidad de redes avanzadas exige de forma fiable una prima porque el grupo de candidatos es pequeño.
Fuente: roles de ingeniero de redes en la nube de levels.fyi 2025–2026, U.S. BLS OEWS mayo de 2024 (15-1241 computer network architects, 15-1244 network and computer systems architects). Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
Las redes en la nube son uno de los campos de especialidad más pequeños pero más premium en la contratación de AWS. La demanda se concentra en grandes empresas, servicios financieros, industrias reguladas y empresas SaaS nativas de la nube con arquitecturas complejas multirregión o híbridas. Los reclutadores utilizan ANS-C01 como una señal creíble de que un candidato puede diseñar y operar redes AWS no triviales; el grupo de candidatos con profundidad en AWS y fluidez en BGP/DNS es genuinamente pequeño. Se combina naturalmente con SAA-C03 o SAP-C02 y con la Security Specialty (SCS-C03) para roles de infraestructura senior. La certificación NO califica por sí misma a los candidatos para puestos de nivel de arquitecto jefe; esos puestos esperan una experiencia más amplia en diseño de sistemas y liderazgo.
No hay requisitos previos formales. AWS recomienda al menos 5 años de experiencia en redes (incluida la experiencia práctica en redes de producción con enrutamiento y conmutación), y al menos 2 años de experiencia práctica en AWS.
La mayoría de los candidatos abordan el ANS-C01 después de SAA-C03 o SAP-C02 para la base arquitectónica de AWS. La brecha más difícil de cerrar es la profundidad en redes tradicionales: los candidatos sin sólidos conocimientos de BGP, OSPF, IPSec y DNS deben esperar un estudio adicional sustancial porque el examen asume una fluidez básica en redes mucho más allá de lo que evalúan los exámenes de asociado. Una simulación personal funcional de Direct Connect (usando Site-to-Site VPN con BGP), un laboratorio de Transit Gateway multirregión y una construcción de VPC de inspección con Gateway Load Balancer son los artefactos de preparación con mayor ROI.
ANS-C01 está clasificado como Specialty y es ampliamente considerado uno de los exámenes más difíciles de AWS. Planifique 100-160 horas durante 12-16 semanas para candidatos con sólida experiencia en redes tradicionales y AWS; 200-280+ horas para candidatos que carecen de una de esas bases. El examen consta de 65 preguntas calificadas en 170 minutos, de opción múltiple y respuesta múltiple, sin laboratorios. La presión del tiempo es real porque leer y rastrear diagramas de red en preguntas de escenario es lento.
Los obstáculos comunes incluyen el comportamiento matizado de BGP sobre Direct Connect (LOCAL_PREF, AS_PATH, MED, comunidades), la propagación vs. asociación de la tabla de rutas de Transit Gateway, los casos límite de resolución de DNS híbrida que involucran puntos finales de entrada y salida de Route 53 Resolver, y los flujos de tráfico de inspección centralizada con Gateway Load Balancer. También se repiten las interacciones sutiles de políticas de PrivateLink y puntos finales de VPC.
Versión actual. Cobertura modernizada de Transit Gateway, Cloud WAN, Network Firewall, Gateway Load Balancer y patrones modernos de DNS híbrido. Reemplazó a ANS-C00.
Advanced Networking Specialty original. Retirada en 2022; era previa a la madurez de Transit Gateway.
ANS-C01 (AWS Certified Advanced Networking Specialty) es un examen de nivel Specialty un examen profundamente especializado que cubre temas avanzados en un dominio estrecho — se espera que la experiencia práctica sea un requisito previo. La mayoría de los candidatos necesitan entre 100 y 200 horas de estudio distribuidas en 2 a 4 meses para los exámenes de especialidad. Estos asumen experiencia práctica en el dominio de la especialidad. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 100 y 200 horas de estudio distribuidas en 2 a 4 meses para los exámenes de especialidad. Estos asumen experiencia práctica en el dominio de la especialidad. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
ANS-C01 es una credencial reconocida en el ecosistema de AWS y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con AWS a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para ANS-C01 es 750 / 1000. El examen contiene 65 preguntas y dura 2 h 50 min.
La tarifa del examen ANS-C01 es de $300 USD. Las tarifas son establecidas por AWS y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de AWS antes de reservar.
Las certificaciones de AWS son válidas por 3 años. Recertifícate aprobando la versión actual del mismo examen, o aprobando un examen de nivel superior en la misma ruta antes de la caducidad.
Sí. Puedes realizar el examen en línea (supervisado a través del navegador seguro del proveedor, disponible 24/7 en la mayoría de las regiones) o en un centro de examen presencial de Pearson VUE durante el horario comercial. Ambos formatos utilizan las mismas preguntas, límite de tiempo y puntuación de aprobación.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para ANS-C01. El modo de simulación de examen reproduce el examen real: 65 preguntas en 2 h 50 min, con el mismo umbral de aprobación de 750 / 1000. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.