AWS Certified Advanced Networking Specialty
275 שאלות תרגול
נבדק לאחרונה: April 2026
הערות אישיות וקישורים למשאבים למסע הלמידה שלך
סנן לפי הסמכה
ההסמכה AWS Certified Advanced Networking Specialty (ANS-C01) היא תעודת הרשתות המעמיקה ביותר ש-AWS מציעה ונחשבת לאחת ההסמכות המאתגרות ביותר מבין כל ספקי הענן. היא מאמתת את היכולת לתכנן, ליישם ולהפעיל ארכיטקטורות רשת AWS מורכבות — כולל קישוריות היברידית, מעבר בין אזורים מרובים, DNS מתקדם, שירותי קצה ואבטחה בשכבת הרשת. הבחינה מכוונת למהנדסי רשתות בכירים, אדריכלי רשתות ענן ומהנדסי תשתיות עם ניסיון של מספר שנים ב-AWS וברשתות מסורתיות. צפו לשאלות ארוכות ועמוסות בתרחישים המשלבות VPC, Transit Gateway, Direct Connect, Route 53, CloudFront, Global Accelerator ו-Network Firewall בדרכים שלרוב יש להן תשובה נכונה אובייקטיבית אחת. ANS-C01 הושקה ביולי 2022, והחליפה את ANS-C00, והיא קונספטואלית (ללא מעבדות מעשיות).
התחום הגדול ביותר ב-30%. בחירות טופולוגיית VPC, טופולוגיית Hub-and-Spoke עם Transit Gateway, תבניות מרובות אזורים, בחירת קישוריות היברידית (Direct Connect מול Site-to-Site VPN מול Cloud WAN), וארכיטקטורת DNS עם Route 53 Resolver. בוחן שיקול דעת אדריכלי יותר מאשר ידע בשירותים.
קונפיגורציית BGP ב-Direct Connect וב-Site-to-Site VPN, טבלאות ניתוב והפצה של Transit Gateway, VPC peering ו-PrivateLink, ופריסת IPv6. נקודת מכשול נפוצה: בחירת נתיב BGP מורכבת והוספת AS-PATH.
VPC Flow Logs, Reachability Analyzer, Network Access Analyzer, Transit Gateway Network Manager ומדדי CloudWatch לרשתות. בוחן שטף תפעולי מעשי.
AWS Network Firewall, קבוצות אבטחה מול NACLs, WAF, Shield, Resolver DNS Firewall ותבניות בדיקה מרכזיות עם Gateway Load Balancer. לעיתים קרובות מפספסים: רצף זרימת התעבורה המדויק דרך VPCs לבדיקה מבוססי GWLB.
שירותים שתפגוש במבחן ומדוע כל אחד מהם חשוב.
רשת וירטואלית מבודדת לוגית עם subnets, טבלאות ניתוב (route tables), רשימות בקרת גישה לרשת (NACLs), קבוצות אבטחה (security groups), Internet Gateway, NAT Gateway ו-VPC peering כאבני הבניין.
מדוע הוא במבחן: כל תרחיש של תכנון והטמעת רשת בבחינת ANS-C01 מתחיל בטופולוגיית VPC — קביעת גודל CIDR, subnets מרובי-AZ, וניתוב ממוקד בטבלאות ניתוב הם יסודות השאלות.
מרכז ניתוב רשתי אזורי המקשר אלפי VPCs ורשתות מקומיות (on-prem) באמצעות חיבורים (attachments) וטבלאות ניתוב של Transit Gateway, עם peering בין אזורים.
מדוע הוא במבחן: שאלות תכנון רשת על מבנה hub-and-spoke, סגמנטציה והחלפת VPC peering מסוג full-mesh בקנה מידה גדול מציינות את Transit Gateway כתשובה הקנונית.
מעגלים פרטיים ייעודיים ברוחב פס של 1/10/100 Gbps ל-AWS עם ממשקים וירטואליים פרטיים, ציבוריים ושל טרנזיט, BGP peering, jumbo frames ו-Direct Connect Gateway לכיסוי רב-אזורי.
מדוע הוא במבחן: הטמעת רשת בוחנת את הטרייד-אופים של קישוריות היברידית — Direct Connect לעומת VPN, קיבוץ LAG, MACsec ומניפולציית נתיבי BGP הם מרכיבים קבועים בבחינה.
מנהרות IPsec (סטטיות או BGP) המסתיימות ב-Virtual Private Gateway או ב-Transit Gateway עבור site-to-site; נקודת קצה מנוהלת מבוססת OpenVPN עם אימות mTLS או SAML עבור Client VPN.
מדוע הוא במבחן: שאלות על קישוריות היברידית בוחנות גיבוי VPN ל-Direct Connect, מנהרות ECMP-bundled ובחירות accelerated-VPN — כולם נבדקים במסגרת הטמעת רשת.
WAN גלובלי מנוהל המאחד חיבורי VPC, Direct Connect, VPN ו-SD-WAN תחת רשת ליבה אחת עם סגמנטציה וניתוב מונעי-מדיניות.
מדוע הוא במבחן: תרחישי תכנון רשת עבור טופולוגיות גלובליות רב-אזוריות מציינים יותר ויותר את Cloud WAN כחלופה המודרנית ל-Transit Gateways מחוברים באמצעות TGW peering.
DNS סמכותי עם ניתוב מבוסס משקל/השהיה/מיקום גיאוגרפי/failover בתוספת שירות Resolver המריץ נקודות קצה נכנסות ויוצאות עבור DNS היברידי בין VPCs ורשתות מקומיות.
מדוע הוא במבחן: רזולוציית Hybrid-DNS (כללי העברה, forwarders מותנים, private hosted zones) היא תבנית חוזרת בתכנון ויישום רשת ב-ANS-C01.
קישוריות פרטית בין VPCs, שירותי AWS ורשתות מקומיות (on-prem) דרך interface VPC endpoints (ENIs) ו-Gateway Load Balancer endpoints — שומרת את התעבורה על עמוד השדרה של AWS.
מדוע הוא במבחן: שאלות עיצוב לגבי חשיפת שירותים בין חשבונות או הסרת נתיבי אינטרנט ציבוריים ל-APIs של AWS נענות באמצעות PrivateLink + VPC endpoints, עם הבחנות בין Gateway ל-Interface endpoint.
CDN גלובלי עם למעלה מ-600 מיקומי קצה, origin failover, origins מותאמים אישית (S3, ALB, MediaPackage), CloudFront Functions / Lambda@Edge למניפולציית בקשות/תגובות, והצפנה ברמת השדה.
מדוע הוא במבחן: תרחישי אספקה בקצה במסגרת תכנון רשת — origin shielding, כתובות URL חתומות, CloudFront-to-private-origin דרך OAC ובחירת POP — נבדקים באופן אינטנסיבי.
שלושה סוגי מאזני עומס L4/L7: ALB לניתוב HTTP(S) ושילוב WAF, NLB ל-L4 בהשהיה נמוכה במיוחד ו-IPs סטטיים, GWLB להכנסת ציוד קצה שקוף (transparent appliance fleets) באמצעות GENEVE.
מדוע הוא במבחן: בחירה בין ALB ל-NLB עבור פרוטוקול/קנה מידה, ו-GWLB עבור הכנסת firewall מוטבע, היא אחת מתבניות המסיחים הנפוצות ביותר בבחינה בהקשר של הטמעת רשת.
נקודות כניסה של Anycast IP שרוכבות על עמוד השדרה הגלובלי של AWS לנקודת הקצה האזורית הבריאה הקרובה ביותר (ALB, NLB, EC2, או Elastic IP), עם failover בפחות מדקה ובקרות traffic-dial.
מדוע הוא במבחן: שאלות תכנון רשת המבחינות בין Global Accelerator (TCP/UDP ב-L4, IPs סטטיים מסוג anycast) לבין CloudFront (HTTP caching ב-L7) הן מרכיב קבוע בבחינה.
חומת אש stateful מנוהלת עם קבוצות כללים תואמות Suricata, בדיקת מנות עמוקה (deep-packet inspection), בדיקת TLS ופריסה מרכזית באמצעות Firewall Manager.
מדוע הוא במבחן: תבניות בדיקת east-west ו-egress במסגרת אבטחת רשת מציינות את Network Firewall כחלופה המנוהלת למכשירי קצה עצמיים מאחורי GWLB.
חומת אש L7 ליישומי אינטרנט (WAF) המחוברת ל-CloudFront, ALB, API Gateway, AppSync, או App Runner — קבוצות כללים מנוהלות, rate limiting, בקרת בוטים ו-CAPTCHA.
מדוע הוא במבחן: שאלות אבטחת רשת בנושא צמצום OWASP Top-10, rate limiting בשכבת היישום וניהול בוטים בקצה מציינות את WAF כתשובה.
הגנת DDoS ברמת מנוי עם Shield Response Team (SRT), מיתוגי L3/L4/L7, החזרי עלויות הגנה עבור scaling תחת מתקפה ולוחות מחוונים של איומים גלובליים.
מדוע הוא במבחן: דומיין 4 (אבטחת רשת, ציות וממשל) בוחן את Shield Advanced עבור עמידות ממושכת בפני DDoS על CloudFront, Route 53, Global Accelerator, ו-ELB הפונים לאינטרנט.
APIs מסוג REST / HTTP / WebSocket עם וריאנט של private-endpoint הנחשף רק דרך interface VPC endpoints, בתוספת מדיניות משאבים לנעילת קוראים לפי VPC, חשבון או כתובת IP מקורית.
מדוע הוא במבחן: חשיפת APIs פנימיים לחשבונות אחרים או לרשתות מקומיות (on-prem) ללא יציאת אינטרנט היא תרחיש תכנון רשת הנשען על חיווט של private API Gateway + PrivateLink.
Flow Logs לוכדים מטא-דאטה של 5-tuple עבור תעבורה מקובלת/נדחית ל-CloudWatch Logs, S3, או Kinesis Data Firehose; Traffic Mirroring מעתיק זרמי מנות L2 מלאים מ-ENIs ל-NLB יעד או ENI עבור IDS / forensics.
מדוע הוא במבחן: שאלות ניהול ותפעול רשת על פתרון בעיות קישוריות ועל פורנזיה ברמת מנות מבחינות בין Flow Logs (מטא-דאטה) לבין Traffic Mirroring (payload מלא).
מישור בקרה של service-mesh מבוסס Envoy עם מדיניות תעבורה east-west, ניסיונות חוזרים (retries) ונראות (observability); Cloud Map מספק את רשומת גילוי השירות הבסיסית (DNS או API).
מדוע הוא במבחן: שאלות תכנון רשת מיקרו-שירותים על עיצוב תעבורה, canary releases, וגילוי שירותים על פני צי ECS/EKS/EC2 מציינות את App Mesh + Cloud Map כתשובה הילידית של AWS.
משתמשי/תפקידי/מדיניות IAM בתוספת מדיניות מבוססת-משאבים על VPC endpoints, Transit Gateway וכללי Route 53 Resolver; AWS Resource Access Manager (RAM) משתף subnets, TGWs וכללי resolver בין חשבונות.
מדוע הוא במבחן: שאלות ממשל בדומיין 4 על שיתוף VPC בין-חשבונות, principals של שירותי endpoint ועקרון הפריבילגיה המינימלית (least-privilege) למנהלי רשת נשענות על IAM + RAM.
מפתחות קריפטוגרפיים מנוהלים המשמשים להצפנת Flow Logs המועברים ל-S3, סודות המגבים מפתחות pre-shared של Site-to-Site VPN, מפתחות MACsec עבור Direct Connect, ומפתחות הצפנה ברמת השדה של CloudFront.
מדוע הוא במבחן: תרחישי ציות בדומיין 4 מציינים את KMS כתשובה להצפנת טלמטריה רשתית שנלכדה במנוחה (at rest) וסיבוב PSKs / MACsec CKNs ללא הפרעה לשירות.
קונסולת "single-pane-of-glass" ו-APIs עבור Transit Gateway, Cloud WAN, Direct Connect ושותפי SD-WAN — אירועים, ניתוח ניתוב, אינטגרציית Network Access Analyzer והדמיית טופולוגיה.
מדוע הוא במבחן: שאלות ניהול ותפעול רשת על הדמיית טופולוגיה גלובלית, route analyzer, וזיהוי אירועים פרואקטיבי מציינות את Network Manager כמשטח התפעול.
לוג ביקורת רוחבי-חשבון של כל קריאת API של מישור בקרת הרשת — מי חיבר TGW, מי שינה טבלת ניתוב, מי יצר חיבור peering.
מדוע הוא במבחן: שאלות ציות בדומיין 4 מציינות את CloudTrail כרשומה הבלתי ניתנת לשינוי הדרושה לייחוס שינויים על VPCs, TGWs, קבוצות אבטחה וכללי Resolver.
$135k–$190k–$280k USD שנתי
הטווח מכסה תפקידי רשתות ענן בדרג ביניים עד בכיר בארה"ב, הדורשים מיומנות ב-AWS. צוותי שירותים פיננסיים מובילים, FAANG ומרכזי ארגונים גדולים עולים לעיתים קרובות על $330k TC. תפקידי "מהנדס רשתות" התחלתיים בשווקים שאינם חופיים נופלים מתחת לקצה התחתון. התמחות ברשתות מתקדמות מצדיקה באופן עקבי פרמיה מכיוון שמאגר המועמדים קטן.
מקור: levels.fyi תפקידי מהנדס רשתות ענן לשנים 2025–2026, U.S. BLS OEWS מאי 2024 (15-1241 אדריכלי רשתות מחשבים, 15-1244 אדריכלי רשתות ומערכות מחשבים). הנתונים משוערים; התגמול בפועל תלוי בתפקיד, באזור ובניסיון.
רשתות ענן הן אחד מתחומי ההתמחות הקטנים אך היוקרתיים ביותר בגיוס עובדים ל-AWS. הדרישה מרוכזת בארגונים גדולים, שירותים פיננסיים, תעשיות מפוקחות וחברות SaaS מקוריות בענן עם ארכיטקטורות מורכבות מרובות אזורים או היברידיות. מגייסים משתמשים ב-ANS-C01 כאות אמין לכך שמועמד יכול לתכנן ולהפעיל רשתות AWS משמעותיות — מאגר המועמדים עם עומק ב-AWS ושליטה ב-BGP/DNS הוא קטן באמת. היא משתלבת באופן טבעי עם SAA-C03 או SAP-C02 ועם ה-Security Specialty (SCS-C03) לתפקידי תשתיות בכירים. ההסמכה אינה מכשירה בפני עצמה מועמדים לתפקידי ארכיטקט ראשי; תפקידים אלה מצפים לניסיון רחב יותר בעיצוב מערכות ובמנהיגות.
אין דרישות קדם רשמיות. AWS ממליצה על לפחות 5 שנות ניסיון ברשתות (כולל עבודה מעשית ברשתות ייצור עם ניתוב ומיתוג), ולפחות שנתיים ניסיון מעשי ב-AWS.
רוב המועמדים ניגשים ל-ANS-C01 לאחר SAA-C03 או SAP-C02 לקבלת היסודות הארכיטקטוניים של AWS. הפער הקשה יותר לסגירה הוא עומק ברשתות מסורתיות: מועמדים ללא רקע חזק ב-BGP, OSPF, IPSec ו-DNS צריכים לצפות ללימודים נוספים ומשמעותיים, מכיוון שהבחינה מניחה שטף בסיסי ברשתות הרבה מעבר למה שנבדק בבחינות ה-Associate. סימולציית Direct Connect אישית עובדת (באמצעות Site-to-Site VPN עם BGP), מעבדת Transit Gateway מרובת אזורים ובניית VPC לבדיקה עם Gateway Load Balancer הם פריטי ההכנה בעלי התשואה הגבוהה ביותר.
ANS-C01 מדורגת כהסמכת Specialty ונחשבת לאחת מבחינות AWS הקשות ביותר. תכננו 100–160 שעות לאורך 12–16 שבועות למועמדים עם רקע חזק ברשתות מסורתיות וניסיון ב-AWS; 200–280+ שעות למועמדים החסרים אחד מהיסודות הללו. הבחינה כוללת 65 שאלות מדורגות ב-170 דקות — בחירה מרובה ותשובות מרובות, ללא מעבדות. לחץ הזמן אמיתי מכיוון שקריאה ועקיבה אחר דיאגרמות רשת בשאלות תרחיש איטית.
נקודות מכשול נפוצות כוללות התנהגות BGP מורכבת על Direct Connect (LOCAL_PREF, AS_PATH, MED, communities), הפצת טבלת ניתוב של Transit Gateway מול אסוציאציה, מקרי קצה של רזולוציית DNS היברידית הכוללים נקודות קצה נכנסות ויוצאות של Route 53 Resolver, וזרימות תעבורה בבדיקה מרכזית עם Gateway Load Balancer. אינטראקציות עדינות של PrivateLink ומדיניות נקודות קצה של VPC חוזרות גם כן.
הגרסה הנוכחית. כיסוי מודרני של Transit Gateway, Cloud WAN, Network Firewall, Gateway Load Balancer, ותבניות DNS היברידיות מודרניות. החליפה את ANS-C00.
הגרסה המקורית של Advanced Networking Specialty. יצאה משימוש ב-2022; עידן טרום-Transit-Gateway-בוגר.
ANS-C01 (AWS Certified Advanced Networking Specialty) הוא מבחן ברמת Specialty מבחן התמחות מעמיק המכסה נושאים מתקדמים בתחום צר – צפו שניסיון מעשי יהיה תנאי מוקדם. רוב המועמדים זקוקים ל-100–200 שעות לימוד הפרוסות על פני 2–4 חודשים עבור מבחני התמחות. אלו מניחים ניסיון מעשי בתחום ההתמחות. רוב המועמדים שמקבלים ציונים באופן עקבי מעל סף המעבר במבחני תרגול עוברים בניסיון הראשון.
רוב המועמדים זקוקים ל-100–200 שעות לימוד הפרוסות על פני 2–4 חודשים עבור מבחני התמחות. אלו מניחים ניסיון מעשי בתחום ההתמחות. משך הזמן למעבר משתנה מאוד בהתאם לניסיון קודם. מהנדסים בעלי ניסיון מעשי בסביבת ייצור בטכנולוגיה הבסיסית זקוקים בדרך כלל לפחות זמן; מועמדים חדשים לפלטפורמה צריכים לתכנן את לימודיהם לכיוון הקצה העליון של טווח זה.
ANS-C01 הוא אישור מוכר במערכת האקולוגית של AWS ומסמן ידע מאומת למעסיקים, מגייסים ולקוחות. האם זה שווה את הזמן והעמלה עבורך תלוי בתפקיד ובמטרות שלך – זה נוטה להשתלם ביותר עבור מהנדסי ענן, אדריכלים ויועצים שעובדים עם AWS על בסיס יומיומי או רוצים לעבור לתפקידים כאלה.
ציון המעבר עבור ANS-C01 הוא 750 / 1000. המבחן מכיל 65 שאלות ונמשך 2 שע' 50 דק'.
עמלת מבחן ה-ANS-C01 היא $300 USD. העמלות נקבעות על ידי AWS ועשויות להשתנות לפי אזור; תמיד אשרו את המחיר הנוכחי בדף ההסמכה הרשמי של AWS לפני ההזמנה.
הסמכות AWS תקפות למשך 3 שנים. ניתן לחדש הסמכה על ידי מעבר הגרסה הנוכחית של אותו מבחן, או על ידי מעבר מבחן ברמה גבוהה יותר באותו מסלול לפני התפוגה.
כן. ניתן לגשת למבחן באופן מקוון (בפיקוח דרך הדפדפן המאובטח של הספק, זמין 24/7 ברוב האזורים) או במרכז בחינה פיזי של Pearson VUE בשעות הפעילות. שני הפורמטים משתמשים באותן שאלות, מגבלת זמן וציון מעבר.
CertLabPro מספק 15 מצבי לימוד על פני בנק השאלות לתרגול עבור ANS-C01. מצב סימולציית המבחן משקף את המבחן האמיתי: 65 שאלות ב-2 שע' 50 דק', עם אותו סף מעבר של 750 / 1000. מצב עיון מאפשר לך לקרוא כל שאלה ותשובה באופן סטטי.