AWS Certified Advanced Networking Specialty
275 практических вопросов
Последняя проверка: April 2026
Личные заметки и ссылки на ресурсы для вашего учебного пути
Фильтр по сертификации
Сертификация AWS Certified Advanced Networking Specialty (ANS-C01) является самой глубокой сетевой квалификацией, предлагаемой AWS, и широко считается одной из самых сложных сертификаций среди всех облачных провайдеров. Она подтверждает способность проектировать, внедрять и эксплуатировать сложные сетевые архитектуры AWS, включая гибридное подключение, многорегиональный транзит, расширенные DNS, периферийные сервисы и безопасность на сетевом уровне. Экзамен ориентирован на старших сетевых инженеров, архитекторов облачных сетей и инженеров инфраструктуры с многолетним опытом работы с AWS и традиционными сетями. Ожидайте длинных, насыщенных сценариями вопросов, которые объединяют VPC, Transit Gateway, Direct Connect, Route 53, CloudFront, Global Accelerator и Network Firewall таким образом, что часто есть один объективно правильный ответ. ANS-C01 был запущен в июле 2022 года, заменив ANS-C00, и является концептуальным (без практических лабораторных работ).
Самый большой домен — 30%. Выбор топологии VPC, топология типа "звезда" с Transit Gateway, многорегиональные паттерны, выбор гибридного подключения (Direct Connect против Site-to-Site VPN против Cloud WAN) и архитектура DNS с Route 53 Resolver. Проверяет архитектурное суждение больше, чем знание сервисов.
Конфигурация BGP на Direct Connect и Site-to-Site VPN, таблицы маршрутизации Transit Gateway и их распространение, пиринг VPC и PrivateLink, а также развертывание IPv6. Частое препятствие: нюансы выбора пути BGP и AS-PATH prepending.
VPC Flow Logs, Reachability Analyzer, Network Access Analyzer, Transit Gateway Network Manager и метрики CloudWatch для сетей. Проверяет практическую оперативную готовность.
AWS Network Firewall, группы безопасности против NACL, WAF, Shield, Resolver DNS Firewall и централизованные паттерны инспекции с Gateway Load Balancer. Часто упускается: точная последовательность потока трафика через VPC инспекции на основе GWLB.
Сервисы, с которыми вы столкнётесь на экзамене, и почему каждый из них важен.
Логически изолированная виртуальная сеть с подсетями, таблицами маршрутизации, NACL, группами безопасности, Internet Gateway, NAT Gateway и VPC peering в качестве основных строительных блоков.
Почему он на экзамене: Каждый сценарий Network Design и Network Implementation в ANS-C01 начинается с топологии VPC — определение размера CIDR, многозональные подсети и целевые таблицы маршрутизации являются основой вопросов.
Региональный транзитный сетевой узел, соединяющий тысячи VPC и локальные сети через аттачменты и таблицы маршрутизации Transit Gateway, с пирингом между регионами.
Почему он на экзамене: Вопросы Network Design о топологии «звезда», сегментации и замене полносвязного VPC peering в масштабе называют Transit Gateway каноническим ответом.
Выделенные частные каналы 1/10/100 Гбит/с до AWS с частными, публичными и транзитными виртуальными интерфейсами, BGP peering, jumbo frames и Direct Connect Gateway для доступа к нескольким регионам.
Почему он на экзамене: Network Implementation проверяет компромиссы гибридного подключения — Direct Connect против VPN, LAG bundling, MACsec и BGP path manipulation являются основными темами экзамена.
IPsec-туннели (статические или BGP), терминирующиеся на Virtual Private Gateway или Transit Gateway для Site-to-Site; управляемая конечная точка на базе OpenVPN с mTLS или SAML аутентификацией для Client VPN.
Почему он на экзамене: Вопросы по гибридному подключению рассматривают варианты VPN как резерва для Direct Connect, туннели с ECMP-балансировкой и ускоренный VPN — всё это проверяется в рамках Network Implementation.
Управляемая глобальная WAN, которая объединяет подключения VPC, Direct Connect, VPN и SD-WAN под единой основной сетью с сегментацией и маршрутизацией на основе политик.
Почему он на экзамене: Сценарии Network Design для многорегиональных глобальных топологий всё чаще называют Cloud WAN современной альтернативой собранным из отдельных Transit Gateway с TGW peering решениям.
Авторитативный DNS с маршрутизацией по весу/задержке/геолокации/отказоустойчивости, а также сервис Resolver, который запускает входящие и исходящие конечные точки для гибридного DNS между VPC и локальными сетями.
Почему он на экзамене: Разрешение гибридного DNS (правила пересылки, условные пересыльщики, частные размещенные зоны) — это повторяющийся шаблон Network Design и Implementation на ANS-C01.
Частное подключение между VPC, сервисами AWS и локальными сетями через интерфейсные VPC-эндпоинты (ENI) и эндпоинты Gateway Load Balancer — сохраняет трафик на магистрали AWS.
Почему он на экзамене: Вопросы проектирования о предоставлении сервисов между аккаунтами или устранении путей через публичный интернет к AWS API отвечают PrivateLink + VPC-эндпоинты, с различиями между Gateway- и Interface-эндпоинтами.
Глобальный CDN с 600+ периферийными точками, отказоустойчивостью источника, пользовательскими источниками (S3, ALB, MediaPackage), CloudFront Functions / Lambda@Edge для манипуляции запросами/ответами и шифрованием на уровне полей.
Почему он на экзамене: Сценарии граничной доставки в рамках Network Design — защита источника, подписанные URL, CloudFront к частному источнику через OAC и выбор POP — интенсивно проверяются.
Три типа балансировщиков нагрузки L4/L7: ALB для HTTP(S) маршрутизации и интеграции с WAF, NLB для L4 со сверхнизкой задержкой и статическими IP, GWLB для встраивания прозрачных флотов устройств через GENEVE.
Почему он на экзамене: Выбор ALB против NLB для протокола/масштаба и GWLB для встраивания межсетевого экрана — один из самых распространённых шаблонов-отвлекателей на экзамене по Network Implementation.
Точки входа Anycast IP, которые используют глобальную магистраль AWS для доступа к ближайшей работоспособной региональной конечной точке (ALB, NLB, EC2 или Elastic IP), с отказоустойчивостью менее минуты и контролем трафика.
Почему он на экзамене: Вопросы Network Design, различающие Global Accelerator (TCP/UDP на L4, статические Anycast IP) от CloudFront (HTTP-кэширование на L7), являются основным элементом экзамена.
Управляемый межсетевой экран с сохранением состояния, группами правил, совместимыми с Suricata, глубокой инспекцией пакетов, инспекцией TLS и централизованным развёртыванием через Firewall Manager.
Почему он на экзамене: Шаблоны инспекции east-west и egress в рамках Network Security называют Network Firewall управляемой альтернативой самостоятельно размещаемым устройствам за GWLB.
Межсетевой экран веб-приложений L7, подключаемый к CloudFront, ALB, API Gateway, AppSync или App Runner — управляемые группы правил, ограничение скорости, контроль ботов и CAPTCHA.
Почему он на экзамене: Вопросы Network Security о смягчении рисков OWASP Top-10, ограничении скорости на уровне приложений и управлении ботами на границе называют WAF ответом.
Уровень подписки для защиты от DDoS с командой реагирования Shield Response Team (SRT), средствами смягчения L3/L4/L7, возмещением расходов на масштабирование при атаке и глобальными панелями угроз.
Почему он на экзамене: Домен 4 (Сетевая безопасность, соответствие требованиям и управление) проверяет Shield Advanced на устойчивость к постоянным DDoS-атакам для интернет-ориентированных CloudFront, Route 53, Global Accelerator и ELB.
API REST / HTTP / WebSocket с вариантом частной конечной точки, доступной только через интерфейсные VPC-эндпоинты, а также политики ресурсов для ограничения вызывающих сторон по VPC, аккаунту или исходному IP.
Почему он на экзамене: Предоставление внутренних API другим аккаунтам или локальным сетям без выхода в интернет — это сценарий Network Design, который зависит от Private API Gateway + PrivateLink.
Flow Logs собирают метаданные 5-tuple для принятого/отклоненного трафика в CloudWatch Logs, S3 или Kinesis Data Firehose; Traffic Mirroring копирует полные потоки пакетов L2 с ENI на целевой NLB или ENI для IDS / криминалистики.
Почему он на экзамене: Вопросы Network Management and Operations по устранению проблем с доступностью и по криминалистике на уровне пакетов различают Flow Logs (метаданные) и Traffic Mirroring (полная полезная нагрузка).
Контрольная плоскость service mesh на основе Envoy с политиками east-west трафика, повторными попытками и наблюдаемостью; Cloud Map предоставляет базовый реестр обнаружения сервисов (DNS или API).
Почему он на экзамене: Вопросы проектирования микросервисных сетей о формировании трафика, канареечных релизах и обнаружении сервисов в парках ECS/EKS/EC2 называют App Mesh + Cloud Map в качестве нативного AWS-ответа.
Пользователи/роли/политики IAM, а также политики на основе ресурсов для VPC-эндпоинтов, Transit Gateway и правил Route 53 Resolver; AWS Resource Access Manager (RAM) предоставляет доступ к подсетям, TGW и правилам Resolver между аккаунтами.
Почему он на экзамене: Вопросы управления Домена 4 о совместном использовании VPC между аккаунтами, субъектах endpoint-сервисов и наименьших привилегиях для сетевых администраторов опираются на IAM + RAM.
Управляемые криптографические ключи, используемые для шифрования Flow Logs, доставляемых в S3, секретов, лежащих в основе предварительно общих ключей Site-to-Site VPN, ключей MACsec для Direct Connect и ключей шифрования на уровне полей CloudFront.
Почему он на экзамене: Сценарии соответствия требованиям в Домене 4 называют KMS ответом для шифрования захваченной сетевой телеметрии в состоянии покоя и ротации PSK / MACsec CKN без нарушения работы сервиса.
Единая консоль и API для Transit Gateway, Cloud WAN, Direct Connect и партнёров SD-WAN — события, анализ маршрутов, интеграция с Network Access Analyzer и визуализация топологии.
Почему он на экзамене: Вопросы Network Management and Operations по визуализации глобальной топологии, анализатору маршрутов и проактивному обнаружению событий называют Network Manager операционной платформой.
Аудит-журнал на уровне аккаунта для каждого вызова API плоскости управления сетью — кто подключил TGW, кто изменил таблицу маршрутизации, кто создал пиринг-соединение.
Почему он на экзамене: Вопросы соответствия требованиям Домена 4 называют CloudTrail неизменяемой записью, необходимой для атрибуции изменений в VPC, TGW, группах безопасности и правилах Resolver.
$135k–$190k–$280k USD годовая
Диапазон охватывает должности сетевых специалистов среднего и высшего звена в США, для которых требуется знание AWS. Команды высшего уровня в сфере финансовых услуг, FAANG и крупных корпораций часто превышают $330 тыс. общей компенсации. Начальные должности "сетевого инженера" на не прибрежных рынках опускаются ниже нижней границы. Специализация в области продвинутых сетей стабильно пользуется высоким спросом, поскольку количество кандидатов невелико.
Источник: Роли облачных сетевых инженеров levels.fyi 2025–2026, Бюро статистики труда США OEWS май 2024 (15-1241 computer network architects, 15-1244 network and computer systems architects). Цифры приблизительны; фактическая компенсация зависит от роли, региона и опыта.
Облачные сети — одна из более узких, но наиболее высокооплачиваемых областей специализации при найме в AWS. Спрос сосредоточен в крупных предприятиях, финансовых услугах, регулируемых отраслях и компаниях SaaS, изначально ориентированных на облако, со сложными многорегиональными или гибридными архитектурами. Рекрутеры используют ANS-C01 как достоверный сигнал о том, что кандидат может проектировать и эксплуатировать нетривиальные сети AWS — пул кандидатов с глубокими знаниями AWS и свободным владением BGP/DNS действительно невелик. Естественно сочетается с SAA-C03 или SAP-C02 и с сертификацией Security Specialty (SCS-C03) для старших инфраструктурных ролей. Сам по себе этот сертификат НЕ квалифицирует кандидатов на должности уровня главного архитектора; для них требуется более широкий опыт в области проектирования систем и лидерства.
Формальных предварительных требований нет. AWS рекомендует иметь не менее 5 лет опыта работы с сетями (включая практический опыт работы с производственными сетями, как маршрутизации, так и коммутации), и не менее 2 лет практического опыта работы с AWS.
Большинство кандидатов подходят к ANS-C01 после SAA-C03 или SAP-C02 для получения архитектурной базы AWS. Более сложный пробел, который нужно восполнить, это глубокие знания традиционных сетей: кандидаты без серьезного опыта работы с BGP, OSPF, IPSec и DNS должны рассчитывать на значительное дополнительное обучение, потому что экзамен предполагает базовое владение сетевыми технологиями, намного превышающее то, что проверяется на экзаменах Associate уровня. Работающая персональная симуляция Direct Connect (с использованием Site-to-Site VPN с BGP), лаборатория с многорегиональным Transit Gateway и сборка инспекционного VPC с Gateway Load Balancer являются наиболее высокорентабельными артефактами подготовки.
ANS-C01 оценивается как Specialty и широко считается одним из самых сложных экзаменов AWS. Запланируйте 100–160 часов в течение 12–16 недель для кандидатов с сильным опытом в традиционных сетях и AWS; 200–280+ часов для кандидатов, у которых отсутствует один из этих фундаментов. Экзамен состоит из 65 вопросов, оцениваемых в 170 минут — множественный выбор и множественный ответ, без лабораторных работ. Временное давление ощутимо, потому что чтение и отслеживание сетевых диаграмм в сценарных вопросах занимает много времени.
Частые препятствия включают нюансы поведения BGP через Direct Connect (LOCAL_PREF, AS_PATH, MED, communities), распространение таблиц маршрутизации Transit Gateway против их ассоциации, пограничные случаи гибридного разрешения DNS, включающие входящие и исходящие конечные точки Route 53 Resolver, а также централизованные потоки трафика инспекции с Gateway Load Balancer. Также часто встречаются тонкие взаимодействия политик PrivateLink и конечных точек VPC.
Текущая версия. Модернизированное покрытие Transit Gateway, Cloud WAN, Network Firewall, Gateway Load Balancer и современных паттернов гибридного DNS. Заменила ANS-C00.
Оригинальная сертификация Advanced Networking Specialty. Выведена из эксплуатации в 2022 году; эпоха до зрелости Transit Gateway.
ANS-C01 (AWS Certified Advanced Networking Specialty) — это Specialty-уровневый экзамен, глубоко специализированный экзамен, охватывающий продвинутые темы в узкой области — ожидается, что практический опыт является обязательным условием. Большинству кандидатов требуется 100–200 часов обучения, распределенных на 2–4 месяца, для специализированных экзаменов. Они предполагают практический опыт в области специализации. Большинство кандидатов, которые стабильно набирают баллы выше проходного порога на пробных экзаменах, сдают его с первой попытки.
Большинству кандидатов требуется 100–200 часов обучения, распределенных на 2–4 месяца, для специализированных экзаменов. Они предполагают практический опыт в области специализации. Время, необходимое для сдачи, сильно варьируется в зависимости от предыдущего опыта. Инженерам с практическим опытом работы с базовой технологией обычно требуется меньше времени; кандидатам, новым для платформы, следует ориентироваться на верхнюю границу этого диапазона.
ANS-C01 — это признанная квалификация в экосистеме AWS, которая подтверждает знания для работодателей, рекрутеров и клиентов. Стоит ли это затраченного времени и платы, зависит от вашей роли и целей — это чаще всего окупается для облачных инженеров, архитекторов и консультантов, которые ежедневно работают с AWS или хотят перейти на такие должности.
Проходной балл для ANS-C01 составляет 750 / 1000. Экзамен содержит 65 вопросов и длится 2 ч 50 мин.
Стоимость экзамена ANS-C01 составляет $300 USD. Сборы устанавливаются AWS и могут варьироваться в зависимости от региона; всегда уточняйте текущую цену на официальной странице сертификации AWS перед бронированием.
Сертификации AWS действительны в течение 3 лет. Пройдите повторную сертификацию, сдав текущую версию того же экзамена или сдав экзамен более высокого уровня в том же направлении до истечения срока действия.
Да. Вы можете сдать экзамен онлайн (с прокторингом через безопасный браузер провайдера, доступный 24/7 в большинстве регионов) или в очном центре тестирования Pearson VUE в рабочее время. Оба формата используют одни и те же вопросы, ограничение по времени и проходной балл.
CertLabPro предлагает 15 режимов обучения по банку практических вопросов для ANS-C01. Режим симуляции экзамена имитирует реальный экзамен: 65 вопросов за 2 ч 50 мин, с тем же проходным порогом 750 / 1000. Режим просмотра позволяет статически читать каждый вопрос и ответ.