概述 & 考試範圍

ANS-C00 這張認證專注於 Networking 領域，準備這張考試前請一定要對網路有具備一定的知識，許多考題都是以有一定的網路實戰經驗下才看得懂，這張在 Speciality Level 當中算是頗難。

整體考試範圍以 Hybrid Cloud 的題型為大宗，除此之外也非常吃重實戰經驗，尤其以 Multi-Account, Multi-VPC 的網路架構設計，成本與安全也是在這個領域吃重不少。

考試基本資訊：

• 考試時間：180 分鐘 (如需更多時間可延長 30 分鐘)
• 考試題數：65 題
• 考試題型：選擇題、複選題 (選 3 個)
• 考試深度：Multi-VPC，Multi-Account 的網路架構設計，Direct Connect 從 0 到 1 的實戰經驗，網路安全設計，網路動態路由協定等。

考前必備基本知識

• 網路概論
  • Network：由很多 AS (Autonomous System) 組成
  • AS：由很多 Subnets 組成
  • Subnet：由很多 IP Address 組成
  • IP Address：通常一台 Device 會有一個 IP
  • Network Packet：在不同的 IP Address 之間移動
• AS (Autonomous System)
  • 將 Network 改變成兩層的結構。以 Gateway 做區隔，最外層是 Internet，使用 EGP 來做聯繫。閘道內是以 AS 來做管理。
  • 一個 AS 會有一個 ASN (AS number)，而 AS 通常是由一個單位管理，例如 ISP、超級大學校、大公司等等，什麼都大的組織。每個 AS 裡面的路由表都自己管，只要事先宣告自己持有什麼網段就行了，故名 autonomous。
• BGP (Border Gateway Protocol)
  • BGP 協定本身並沒有考慮到「安全」
  • 使用 Port 179/TCP
  • 同一個 AS 多個實體之間的 BGP 稱為 iBGP (Internal/Interior BGP)
  • 多個 AS 之間的 BGP 稱為 eBGP (External/Exterior BGP)
  • 優先順序：IGP > eBGP > iBGP (200)
• BGP Hijacking
  • BGPStream 顯示目前全球網路上有哪些地方正在發生 BGP Leak/狹持，大概可以分成幾種：
    • 部分狹持，一個自治系統隨便宣告自己持有某個網段，這網段可能同時是別人持有的，
    • 完全狹持，一個自治系統，宣告網段時，宣告了比原本更大的區間（CIDR），故為完全狹持
• BGP Leak：與 BGP Hijacking 相似，但通常是操作者不小心手滑寫錯路由表
• Differentiated Services Code Point (DSCP)：RFC-2474, Layer 3 的 QoS 方法，使用 IP header 中的 6-bit DS (Differentiated Services) 進行封包分類，通常可以從 Wireshark 擷取到 DSCP
• AWS
  • VPC
    • 各種 Networking to VPC 架構
      • AWS Managed VPN
      • AWS Transit Gateway + VPN
      • AWS Direct Connect
      • AWS Direct Connect + AWS Transit Gateway
      • AWS Direct Connect + VPN
      • AWS Direct Connect + AWS Transit Gateway + VPN
      • AWS VPN CloudHub
      • Software Site-to-Site VPN
    • 各種 VPC to VPC 架構
      • VPC peering
      • AWS Transit Gateway
      • Software Site-to-Site VPN
      • Software VPN-to-AWS Managed VPN
      • AWS Managed VPN
      • AWS PrivateLink
    • 各種 Client to VPC 架構
      • AWS Client VPN
      • Software client VPN
    • Internet Gateway：讓 VPC 連接 Internet 使用，也另外提供 Egress Only Internet Gateways 僅 outbound 不提供 inbound 但只有 IPv6, 若 IPv4 則使用 NAT Gateway
    • Carrier gateways：連接至有提供 5G Wavelength 的 ISP 路由 Gateway (attach subnet route)
    • NAT Gateway
      • 支援 TCP/UDP/ICMP
      • 沒有 Security Groups
      • 使用 Port 1024 ~ 65535
      • 不支援 VPC Peering
    • Customer Gateway：通過 CGW 串接 On Permises 的 Firewall, Router 或可 VPN 設備，每一個 VPN 建議至少 2 組 CGW tunnel
    • Transit Gateway：用於串接不同 VPC，可 Cross-Region, Account。
    • Routing and switching：All traffic is unicast and All subnets default
      • 如果 EC2 充當 Proxy, Firewall, Router 角色必須接收和 EIP 不同的 IP 流量時必須關閉 source/destination checks
      • MTU 依 EC2 instance type 而定，支援從 1500, 9001 MTU 或更高，而 Wavelength Zone 最大 MTU 1300，當流量離開 VPC 時最大 MTU 為 1500. (Network maximum transmission unit (MTU) for your EC2 instance)
    • Site-to-Site VPN
      • AWS Managed Site-to-Site VPN 每一個 VPN Connection 會有 2 個 tunnels. #Tunnel options for your Site-to-Site VPN connection
      • 使用 Encapsulating Security Payload (ESP) protocol 50 和 UDP Port 500
      • Phase 1/2 都支援 AES128 以上加密演算法, SHA1 Hash
    • Security Group vs. Network ACL 的差異
    • VPC Endpoint Gateway vs. Interface 的差異
    • Limitations
      • BGP Route per Table 最高 100 條 (hard limit)
      • Subnet 僅能 attach 一個 NACL
  • Direct Connect：盡可能的把 Direct Connect 的設計情境和文件都看完
    • 熟記 Getting Started 所有步驟與準備
    • 分為 Public, Private, Transit Virtual Interface (VIF)
      • Private VIF 會將 AWS, On-Premises 以 Private Route 做 BGP 路由交換
      • Public VIF 除交換 Private Route 以外，也會將 AWS Public Route 下放到 On-Premises 路由，在 On-Premises 可以直接訪問 AWS Internet Services。
      • Transit VIF 用於 Transit Gateway 並且可以搭配 Direct Connect gateway 使用。
      • 當有兩個 Private VIF 發佈相同路由時，使用不同的 MTU
  • EC2
    • 當 stop/termination 時會重新分配 Public IP 給 EC2
    • Placement Group 不支援 burstable performance 的 instance. (t2, t3, t3a, t4g)，Partition, Spread mode 可能會遇到 racks 不夠的問題
  • CloudFront
    • Cookie：Caching Content Based on Cookies
      • 支援 HTTP/HTTPS Web Distributions 並且 Forward Origin，但 Cookie 不支援 RTMP Distributions
      • 沒有設定 Forward Cookie Origin 時，CloudFront 再傳送到 Origin 前移除 Set-Cookie header
    • Distribution
      • Web Distribution Origin 可以是 S3 或者 HTTP/HTTPS Service
      • RTMP Distribution: Video on Demand and Live Streaming Video
        • Live Streaming Video 支援 Microsoft Soomth Streaming 格式
        • RTMP
          • Adobe Flash Media Server
            • Adobe designated Flash as end-of-life at the end of 2020
            • CloudFront 預設存取 Adobe Flash Media Server 的 crossdomain.xml 允許 CROSS Domain。
          • Media Player 設定 RTMP 時串流檔案路徑必須位於 cfx/st 之後 (rtmp://aaa.cloudfront.net/cfx/st/media.flv)
    • Limitation
  • CloudWatch
    • Metrics 包含 Metric name, Dimension, Data point unit, namespace 並且依照指定的 time period 計算出數值
    • 支援單個資料 --put-metric-data 上傳，也能將資料彙整後加上 --statistic-values 一次上傳
    • PutMetricData API 最大支援 HTTP GET 8KB、HTTP POST 40KB
    • 當沒有數據時，建議可以上傳 0 值便於統計 (e.g. Average)，但也可選擇不上傳 data

考試心得

這張 Advanced Networking 準備的比之前考 All-5 Certified 還要久，主要是因為實戰不足再加上對 Network 不是專長領域準備了約 2 個月左右才考上。

實戰不足的部分主要是因為大部分的考題應該有 60% 都是 Direct Connect，大部分的考題都需要 Direct Connect 的建置經驗，尤其遇到情境題時除錯更不容易。

個人認為 Advanced Networking 大概是 Speciality 裡面最難的，非常有專業水準。

Advanced Networking AWS certified Speciality