AWS Certified Advanced Networking – Specialty

(ANS-C00) 考试指南

2.1 版 ANS-C00 1 | PAGE

简介

AWS Certified Advanced Networking – Specialty (ANS-C00) 考试适用于担任 AWS 网络专家角色的个

人。该考试验证设计和实施大规模 AWS 和混合 IT 网络架构的高级技术技能和经验。该考试适用于执行复

杂网络任务的个人。它验证个人能否执行以下操作：

使用 AWS 设计、开发和部署基于云的解决方案

根据基本架构最佳实践实施核心 AWS 服务

设计和维护所有 AWS 服务的网络架构

使用工具自动执行 AWS 网络任务

目标考生说明

目标考生的高级网络专业知识水平大大超出 AWS Certified Solutions Architect – Professional 的预期水

平。目标考生可能是经验丰富的解决方案架构师（5 至 7 年或更长时间），他的工作侧重于网络方面，并

具有设计、实施和故障排除方面的专业知识。目标考生可能具有大规模基础架构工程方面的背景（例如，

复杂 SMB、企业、ISP、LAN/WAN 环境）。

建议掌握的一般 IT 知识

目标考生应具备以下领域的知识：

高级网络架构和互连选项（例如，IP VPN、多协议标签交换 [MPLS]、虚拟专用 LAN 服务

[VPLS]）

开放系统互连 (OSI) 模型中的网络技术，以及它们如何影响实施决策

开发自动化脚本和工具。设计、实施和优化以下内容：

o 路由架构（包括静态和动态）

o 全球企业的多区域解决方案

o 高可用性的连接解决方案（例如，AWS Direct Connect、VPN）

CIDR 和子网划分（IPv4 和 IPv6）

IPv6 转换难题

网络安全功能的通用解决方案，包括 AWS WAF、入侵检测系统 (IDS)、入侵防御系统 (IPS)、

DDoS 防护以及造成经济损失的拒绝服务/可持续性 (EDoS)

2.1 版 ANS-C00 2 | PAGE

建议掌握的 AWS 知识

目标考生应具备以下知识：

使用 AWS 技术的专业经验

AWS 安全最佳实践

AWS 存储选项及其基础一致性模型

AWS 网络细微差别及其与 AWS 服务集成的关系

哪些内容被视为超出目标考生的范围？

以下是预计目标考生无法执行的相关工作任务的非详尽列表。以下内容被视为超出考试范围：

拥有应用程序开发技能

拥有超出 Solutions Architect – Professional 水平的 SysOps 技能

考试内容

答案类型

考试具有两种类型的试题：

单选： 具有一个正确答案和三个错误答案（干扰项）

多选： 在五个或更多答案选项中具有两个或更多正确答案

选择一个或多个最准确表述或回答试题的答案。干扰项或错误答案是知识或技能不全面的考生可能会选择

的答案选项。干扰项通常是与内容领域相符的通常看似合理的答案。

未回答的试题将计为回答错误；猜题不会扣分。考试包括 50 道将影响您的分数的试题。

不计分内容

考试包括 15 道不计分试题，这些试题不影响您的分数。AWS 收集这些不计分试题的考生答题情况以进行

评估，以便将来将这些试题作为计分试题。不会在考试中标明这些不计分试题。

考试成绩

AWS Certified Advanced Networking – Specialty 考试成绩分为及格和不及格。考试按照 AWS 专业人员

制定的最低标准进行评分，他们遵循认证行业最佳实践和准则。

2.1 版 ANS-C00 3 | PAGE

您的考试成绩换算分数为 100 – 1000 分。最低及格分数为 750 分。您的分数表明您的总体考试答题情况以

及是否通过考试。换算评分模型有助于在难度水平可能略有不同的多种考试形式中换算分数。

您的成绩单可能包含一个分类表，其中列出您在每个部分的考试成绩。该信息旨在提供有关您的考试成绩

的一般反馈。考试采用补偿评分模型，这意味着您无需在每个部分都达到及格分数。您只需通过整个考

试。

考试的每个部分具有特定的权重，因此，某些部分的试题比其他部分多。该表包含常规信息以重点说明您

的强项和弱项。在解读各个部分的反馈时，请务必小心谨慎。

内容大纲

本考试指南包括考试的权重、测试领域和目标，并未列出考试的全部内容。不过，为每个目标提供了额外

的背景信息，以帮助指导您为考试做好准备。下表列出了主要内容领域及其权重。该表位于完整考试内容

大纲之前，其中包括额外的背景信息。每个领域中的百分比仅代表计分内容。

领域 在考试中所占的百分比

领域 1： 设计和实施大规模混合 IT 网络架构 24%

领域 2： 设计和实施 AWS 网络 28%

领域 3： 自动执行 AWS 任务 8%

领域 4： 配置与应用程序服务的网络集成 14%

领域 5： 设计和实施安全性和合规性 12%

领域 6： 对网络进行管理、优化和故障排除 14%

总计 100%

领域 1： 设计和实施大规模混合 IT 网络架构

1.1 将过程概念应用于混合 IT 架构连接实施

1.2 根据场景，设计相应的混合 IT 架构连接解决方案

确定低级设计的 IP 地址分配

映射应用程序流以创建通信列表

根据模板实施设备配置

2.1 版 ANS-C00 4 | PAGE

确定 AWS 控制台配置的实施步骤（AWS、Direct Connect 链路、VPN、本地、L1→7 测试

等）

集成 AWS 和本地 DNS 服务

简要说明解决方案的组件（例如，图表、解决方案中的协议、VLAN、801.q、BFD 等）

评估网络架构图表以符合业务和技术要求

确定设备配置的实施步骤（AWS、Direct Connect 链路、VPN、本地、L1→7 测试等）

根据业务要求自定义设备配置

根据业务和技术要求，定义回滚过程

设计到 VPC 的多路径链路以满足业务要求

确定架构特定的高可用性/负载均衡要求

1.3 说明使用 Direct Connect 扩展连接的过程

1.4 评估利用 Direct Connect 的设计备选方案

确定用于支持私有 VIF 的相应区域

确定相应的弹性策略

确定是否需要在 DX 设施中托管客户设备

限制公有 VIF 对特定区域服务的访问

确定是否需要使用多个 1G 以下的连接

确定提供连接冗余所需的 Direct Connect 设施

使用 Direct Connect 网关将 Direct Connect 流量路由到多个 AWS 区域

1.5 为混合 IT 架构定义路由策略

根据有关高可用性、负载均衡、流量调整和安全性的客户要求确定路由策略

定义路由对等项的链路参数（AWS 路由器与本地路由器建立对等关系）

定义实施路由策略所需的 BGP 参数（例如，BGP 指标、AS 编号）

在路由协议配置（路由筛选、路由映射、基于策略的路由、ACL、AS 处理）外部，为路由处

理实施基于设备的配置以实施路由策略

确定测试计划

创建路由器配置（包括 BGP 配置、策略/安全配置）

测试实施

领域 2： 设计和实施 AWS 网络

2.1 应用 AWS 网络概念

2.2 根据客户要求，在 AWS 上定义网络架构

说明 AWS 软件定义的网络的用途和功能

2.1 版 ANS-C00 5 | PAGE

描述 AWS 中的网络隔离的工作方式 (VPC) 及其各种组件

计算所需的 IP 地址数

计算所需的网络/子网数以及每个网络中的主机数

对子网之间的隔离级别进行分类

说明子网之间以及与 VPC 之间的流量传输要求

简要说明全球网络的要求以及它们之间的通信

根据客户要求，使用 AWS 控制台或 AWS 工具创建 VPC、子网、路由表和网络 ACL

创建和连接网关

利用 VPC 终端节点以满足客户要求

根据客户要求设计 IP 寻址方案，并估算每个子网的子网大小（子网掩码）

根据客户要求（安全隔离、开发/测试/生产环境等），将子网划分为不同的逻辑单元

为每个子网设计安全模型（网络 ACL、公有/私有子网）

确定每个子网的路由特性

根据客户要求，设计将 VPC 连接到公共 Internet 的模型（如果需要）以及有关该模型的安全

性

根据客户要求（包括 AWS Transit Gateway），设计 VPC 之间的通信模型（在区域中/全球范

围内）以及有关该模型的安全性

选择增强 AWS 服务并满足客户要求的生态系统解决方案

确定是否应与多个 AWS 账户共享子网

2.3 根据现有实施评估提出优化的设计

将 HLD 中使用和确定的特定产品集的最佳实践或账户使用情况与白皮书和其他 AWS 参考文

档中确定的最佳实践保持一致（例如，在当前部署和 AWS 最佳实践之间使用 GAP 分析）

针对 HLD 中确定的当前部署与 AWS 最佳实践之间的差异提出建议

根据目标架构确定和执行更改管理计划

确定相应的网络优化策略（例如，置放组、增强的网络、额外的 ENI、ENA、EFA、生态系

统、EBS 优化、MTU、到 Internet 的吞吐量）

使用工具，包括 GAP 分析、AWS 参考架构、AWS 白皮书、特定产品的 AWS 文档

2.4 确定专用工作负载的网络要求

确定专用工作负载及其网络要求（例如，带宽要求、延迟要求、可靠性/弹性要求、加密要

求）

简要说明解决方案的组件（例如，图表、解决方案中的协议、VLAN、801.q、BFD 等）

2.5 根据客户和应用程序要求，设计相应的架构

将业务和应用程序要求与技术解决方案保持一致

2.1 版 ANS-C00 6 | PAGE

确定应用程序要求并转化为技术要求

评估客户业务要求，并将它们与应用程序要求进行比较以找出差异

将应用程序流要求与网络功能保持一致

简要说明要求定义文档，该文档详细说明了在系统的网络限制内将客户要求与应用程序要求保

持一致

将客户要求转化为 AWS 组件

2.6 根据网络设计和应用程序数据流，评估和优化成本分配

根据网络设计估算费用

根据应用程序数据流（例如，VPC-E、AWS Key Management Service (AMS KMS) 快照副

本、Amazon S3 跨区域复制、跨可用区等）估算费用

领域 3： 自动执行 AWS 任务

3.1 评估 AWS 中用于网络部署的自动化替代方案

使用 AWS CloudFormation 管理 VPC 基础架构

使用 AWS Service Catalog 扩展网络预置自助服务

在 AWS CodeCommit 中存储基础架构即代码构件

使用 AWS Config、Amazon Single Notification Service (Amazon SNS)、AWS Lambda 和

CloudFormation 偏差检测以审核更改

使用 Amazon EC2 标签（例如多播）和 Transit Gateway 在连接的 VPC 的子网之间路由多播

流量，以动态实施覆盖网络配置

将 Lambda 作为 CloudFormation 自定义资源以与外部系统（包括 IPAM 软件）集成在一起

使用 CloudFormation 构建 CloudFormation 模板

3.2 评估 AWS 中用于网络运营和管理的基于工具的替代方案

使用脚本（任何语言）在 EC2 上为 NAT、防火墙等实施高可用性的解决方案

使用 API 查询当前网络组件状态/配置

为 Amazon CloudWatch 和 Amazon CloudWatch 日志实施 EC2 监控脚本

使用网络管理器控制台可视化和监控全球网络

使用 VPC 流量镜像以监控流量

根据客户场景，利用 CloudWatch 监控汇总指标并发布通知和自动修复

领域 4： 配置与应用程序服务的网络集成

4.1 利用 Amazon Route 53 功能

4.2 在混合 IT 架构中评估 DNS 解决方案

2.1 版 ANS-C00 7 | PAGE

将 Route 53 别名与其他 AWS 服务结合使用。

选择相应的 DNS 记录类型、值和 TTL

根据客户要求，确定相应的 DNS 区域类型（公有/私有）

描述公有和私有托管区域之间的区别

根据业务要求，设计相应的 DNS 路由策略

设计和配置托管区域和记录集的层次结构

根据业务要求，设计有效的运行状况检查策略

4.3 确定 AWS 中的 DHCP 的相应配置

说明 DHCP 的重要概念和功能

描述 DHCP 在 AWS 中的工作方式（例如，第 2 层广播）

确定是否正确使用 DHCP 以分配 IP 地址（例如辅助 IP）

配置 DHCP 选项集以满足应用程序要求

实施链接的应用程序需要使用不同 DHCP 选项集的解决方案

4.4 根据场景，确定 AWS 生态系统中的相应负载均衡策略

实施粘性会话

确定检索客户端 IP 地址的策略

配置 TCP、HTTP 和 HTTPS 服务的负载均衡

根据业务和应用程序要求，设计应用程序运行状况检查策略

利用生态系统（例如 Elastic Load Balancer 和第三方解决方案）产品以满足应用程序要求

根据场景，确定相应的负载均衡解决方案

4.5 确定内容分发策略以优化性能

确定并映射端到端内容流以创建通信列表

确定并映射端到端 DNS 流以创建通信列表

根据场景，确定相应的 Amazon CloudFront 解决方案（URL、协议 [HTTP 和/或 HTTPS]、

方法）

使用 AWS 控制台确定 CloudFront、来源服务器和相关服务（Roud53 或 AWS Global

Accelerator（如果更适用）、EC2、S3、AWS Direct Connect 等）的实施步骤。

确定测量方法以符合业务要求

4.6 将 AWS 服务要求与网络要求保持一致

确定 AWS 服务如何通过网络（协议、端口等）进行通信

设计从 AWS 服务到范围内的其他组件（在 AWS 服务、公共 Internet 中）的数据流模型

确定应用程序如何与 AWS 服务进行交互，并设计它们之间的网络通信流

确定 AWS 服务（如果有）的 CIDR 要求

2.1 版 ANS-C00 8 | PAGE

为 AWS 服务建立网络安全模型

领域 5： 设计和实施安全性和合规性

5.1 评估设计要求以符合安全性和合规性目标

根据安全要求，选择相应的 AWS 工具和生态系统

实施隔离的子网架构

设计并实施 AWS 网络架构以满足安全性和合规性要求（例如，隔离区 (DMZ)、三层）

为给定实施建立威胁模型，并确定相应的缓解策略

确定给定场景中的安全漏洞和/或合规性违规情况

5.2 评估监控策略以支持安全性和合规性目标

创建 VPC 流日志并与其进行交互

使用 AWS CloudTrail 监控尝试/完成的网络资源更改

使用 CloudWatch 实施自动警报

使用 CloudWatch 实施自定义的指标

根据客户业务要求，确定总体安全/监控解决方案

分析管理和安全工具（例如 CloudTrail、CloudWatch、实例日志、cmdb）以进行授权的更改

（可能在 InfoSec 端）

5.3 评估 AWS 安全功能以管理网络流量

对比和比较安全组、网络 ACL 和 IAM 策略的功能

确定应用程序的网络安全要求

确定并映射应用程序流以创建策略实施对象（安全组、网络 ACL 或 IAM 策略）

确定如何正确应用安全组、网络 ACL 或 IAM 策略

根据安全要求，实施安全组、网络 ACL 和 IAM 策略（例如，限制哪些用户可以更改网络资

源，包括 VPC、子网、路由表、安全组、网络 ACL、VGW、IGW 等）

测试是否符合规定的要求

简要说明网络安全解决方案（例如，图表、通过安全组允许/拒绝的协议、网络 ACL、允许/拒

绝的网络资源操作的权限列表）

根据业务要求，自定义实施

5.4 利用加密技术以保护网络通信

确定适用于加密的合规性要求

确定需要加密哪些应用程序数据

确定将存储该数据的数据流和系统

2.1 版 ANS-C00 9 | PAGE

实施相关的加密解决方案以加密传输中的数据和静态数据（S3、Amazon Elastic Block Store

(Amazon EBS)、Amazon Relational Database Solution (Amazon RDS) 以及 EC2 上的自定

义解决方案）

实施加密密钥管理解决方案（使用 AWS Key Management Service (AWS KMS) 或客户拥有

的第三方解决方案）

实施对加密数据的访问审核

测试以验证合规性

简要说明解决方案的组件（加密、密钥管理、审核控制等）

确定由于加密而造成的任何应用程序性能影响并建议缓解解决方案

领域 6： 对网络进行管理、优化和故障排除

6.1 根据场景，排查并解决网络问题

查看路由表以找出黑洞或缺少路由传播

查询本地设备（VPN 或 Direct Connect）以确定网络可访问性

验证 L1-L4 可访问性，并调查每层的潜在故障原因

根据标准诊断信息，确定 AWS 网络配置中的实施错误或故障

评估是否正确使用安全组和网络 ACL（允许或拒绝）

使用 VPC 流日志查找安全组或网络 ACL 中的配置错误或潜在的安全漏洞