多子网路由环境下的内网域名应用与系统架构报告

在当代企业级网络基础设施的构建过程中，内网域名系统（DNS）的规划与实施已从单纯的地址解析工具演变为网络治理的核心支柱。随着软件定义网络（SDN）、容器化技术以及超大规模虚拟化的普及，传统的基于静态IP地址的资源访问模式在灵活性、可维护性及安全性方面显现出严重局限。特别是在涉及多个子网、依赖路由器进行跨网段通信的复杂内网环境中，如何设计一套能够穿越广播域限制、支持动态服务发现并兼顾安全加密的域名应用体系，成为网络架构师必须面对的深层次挑战。本报告旨在从协议底层机制、架构设计哲学、命名空间治理、跨子网服务发现及私有密钥基础设施（PKI）集成等多个维度，对多子网环境下的内网域名应用进行详尽的技术论证与实践指导。

网络拓扑基础与跨子网寻址机制

在多子网架构中，内网环境通常被划分为不同的逻辑网段（如办公网、服务器网、物联网设备网等），这些网段通过路由器或三层交换机进行互联。这种物理或逻辑上的隔离虽然增强了网络安全性与广播域控制，但也为域名的自动化配置带来了技术复杂性。

DHCP 在多子网环境中的分发逻辑与中继机制

动态主机配置协议（DHCP）是内网设备接入网络并获取DNS配置的第一环节。由于DHCP发现消息（Discovery）基于有限广播地址（255.255.255.255）进行传输，路由器默认不会转发此类报文，这导致位于不同子网的客户端无法直接与中央DHCP服务器通信。为了解决这一问题，必须在每个受控子网的网关处配置DHCP中继代理（DHCP Relay Agent）。

当中继代理接收到来自客户端的广播请求时，它会执行关键的封装操作：将自身的接口IP地址（通常是该子网的网关地址）插入到请求头的 giaddr（网关IP地址）字段中，并将报文以单播形式转发至预设的DHCP服务器。DHCP服务器通过检查 giaddr 字段，能够精准识别客户端所在的子网位置，并从相应的地址池中挑选出适配的IP地址。更重要的是，服务器在回应的“提供消息”（Offer）中，会同步下发 DNS 服务器地址（Option 6）、默认网关（Option 3）及域名后缀（Option 15）等关键参数。这种机制确保了即便DNS服务器位于核心管理网段，处于末梢子网的终端设备也能在接入瞬间获得正确的解析指向。

DORA 过程中的参数集成与子网掩码作用

DHCP的运作遵循发现（Discovery）、提供（Offer）、请求（Request）及确认（Acknowledgement）四个阶段，合称 DORA 过程。在多子网环境下，子网掩码（Subnet Mask）的精确下发至关重要。子网掩码这一32位二进制数字通过逻辑与运算，将IP地址划分为网络前缀与主机标识。客户端利用这一信息判断目标访问对象的域名解析结果是否在本地网段内；如果目标地址位于不同子网，客户端将根据DHCP获取的默认网关信息，将报文封装后发送至路由器进行跨网段路由。

在这一过程中，DNS服务器的角色是实现从人类可读名称到这些物理网段地址的映射。对于需要高度稳定性的关键服务，网络管理员通常在DHCP服务器中配置静态地址分配，通过客户端的介质访问控制（MAC）地址进行绑定，从而确保关键应用在DNS记录中拥有永久固定的IP指向。

内网命名空间的治理逻辑与规范

命名空间的设计是内网域名应用中最具策略性的环节。不规范的命名不仅会导致与公网域名的冲突，还可能引发敏感信息的泄露或现代操作系统的解析异常。

顶级域名（TLD）的选择冲突与 RFC 规范

长期以来，内网环境中存在大量非官方保留顶级域名的滥用现象，如 .local、.lan、.corp 和 .home。

1. .local 的多播误区：根据 RFC 6762 的严格定义，.local 顶级域被保留给多播 DNS（mDNS）协议使用。这意味着当终端发起以 .local 结尾的域名查询时，操作系统往往会优先通过链路层组播（224.0.0.251）进行零配置发现，而非向单播 DNS 服务器发起请求。在多子网环境中，由于组播流量默认不跨路由，使用 .local 作为内网后缀会导致严重的跨网段解析失败及响应延迟。
2. .internal 的正式确立：针对私有网络域名的规范化需求，ICANN 在2024年正式批准将 .internal 保留给私有应用使用。该后缀被定位为类似于 RFC 1918 私有IP地址段（如 10.0.0.0/8）的域名对等物，具有永不委派至全球根区域的确定性，有效防止了内网查询向公网泄露的风险。
3. home.arpa 的特定用途：对于小型办公室或家庭实验室环境，RFC 8375 推荐使用 home.arpa。它具有良好的隐私保护特性，且符合互联网标准，适合非企业级的中小规模子网应用。

企业级域名分层模型

在跨子网的复杂架构中，推荐采用以下结构化的命名模型，以平衡管理便利性与安全性：

命名模式	逻辑结构示例	技术意义与应用场景
地理位置/职能分层	host.shanghai.corp.internal	适用于跨区域子网，通过子域委派实现分布式管理。
公网子域隔离模型	service.int.example.com	拥有公网域名的企业推荐使用，便于获取合规的SSL证书。
环境分类模型	db.prod.internal / web.dev.internal	将生产环境与开发环境在域名层面进行强隔离，防止误操作。
设备类型标识	printer-01.vlan20.internal	针对IoT设备进行网段标识，便于通过名称直观定位物理位置。

8

DNS 服务软件的技术选型与特性对比

针对不同的内网需求，市场上存在多种成熟的 DNS 服务软件。在多子网环境中，其对区域传输、动态更新及插件化的支持程度是关键考量指标。

BIND9：工业级标准与区域同步

作为互联网基础设施的基石，BIND9 以其无与伦比的协议支持深度成为大型内网的首选。在多子网架构中，BIND9 的区域传输（Zone Transfer）机制是确保权威数据一致性的核心。主服务器（Primary）在记录更新后通过 NOTIFY 报文告知从服务器（Secondary），触发全量（AXFR）或增量（IXFR）的数据拉取。

BIND9 支持复杂的访问控制列表（ACL）和视图（Views）功能。这意味着管理员可以配置 DNS 服务器根据请求来源的子网 IP，返回不同的解析结果（即 Split-Horizon DNS）。例如，处于开发子网的用户查询 api.internal 可能被解析至测试服务器，而生产子网的用户则解析至生产负载均衡器。

CoreDNS：云原生与现代化集成

对于依赖 Docker 或 Kubernetes 构建开发环境的企业，CoreDNS 提供了更轻量且模块化的解决方案。CoreDNS 采用 Go 语言编写，通过插件链处理查询请求。其 forward 插件能够将非本域查询高效转发至上游公共解析器，而 cache 插件则显著降低了频繁跨网段查询产生的时延。此外，CoreDNS 对声明式配置（Corefile）的支持，使其极易集成到持续集成/持续部署（CI/CD）流水线中。

Windows Server DNS 与活动目录集成

在典型的 Windows 办公网中，DNS 是活动目录（AD）不可或缺的组件。它利用“安全动态更新”协议，允许加入域的主机在获取DHCP地址后自动更新其 DNS A记录和 PTR记录。在多子网环境中，Windows DNS 通过 Active Directory 复制机制自动同步区域数据，无需手动配置区域传输规则，极大地降低了运维门槛。

多子网环境下的解析流转与路由安全

在物理层面上，跨子网的 DNS 查询必须穿过路由器或防火墙，这涉及服务可达性与访问控制的精细配置。

路由转发与 53 端口的 ACL 策略

内网 DNS 查询主要基于 UDP 53 端口，但在处理超过 512 字节的响应（如包含大量 A 记录的查询或启用 DNSSEC 签名）时会回退到 TCP 53 端口。在多子网路由器上，必须明确放行源子网到 DNS 服务器 IP 的双向 UDP/TCP 53 流量。

对于安全性要求极高的环境，可以部署 DNS 代理（DNS Proxy）或转发器。通过在边界防火墙开启 DNS Mapping 功能，可以实现内网主机直接访问服务器内网IP，减少防火墙的会话处理压力。此外，为了防止 DNS 放大攻击及非法查询，建议在 DNS 服务器上设置递归限制，仅允许来自已知企业内网子网段的递归请求。

条件转发（Conditional Forwarding）的应用

当企业内网存在多个独立的命名空间（例如通过 VPN 连接的合作伙伴网络或并购公司的网络）时，条件转发技术变得至关重要。通过配置条件转发规则，主 DNS 服务器可以将针对特定后缀（如 *.partner.internal）的请求转发至对方子网的特定解析服务器，而非尝试在全球根域名系统中解析。这不仅实现了跨组织的资源互访，还保持了各自命名空间的独立性。

跨子网服务发现：突破广播限制的 mDNS 反射

现代办公设备（如打印机、智能投屏、NAS）普遍采用 mDNS（Bonjour/Avahi）进行服务发布。由于组播报文默认不跨越子网，位于子网 A 的员工往往无法发现子网 B 的打印机，导致“域名应用”在发现阶段即告失败。

Avahi Reflector 与 Bonjour 补丁

为了在多子网环境中维持“零配置”体验，必须引入 mDNS 反射器（mDNS Reflector）或中继器。以 Linux 平台上的 Avahi 为例，通过在连接多个子网的路由器或服务器上开启 enable-reflector=yes 选项，Avahi 守护进程能够监听一个接口上的服务通告，并在所有其他接口上重新生成该报文。

当客户端发送针对 printer.local 的组播查询时，路由器上的 Avahi 反射器将其捕获并同步转发至目标子网；目标子网的设备响应后，反射器再将响应回传至源客户端所在的子网。通过这种代理机制，底层物理路由的隔离对上层服务发现协议变得透明。

跨网段组播的防火墙规则配置

实现上述功能需要在防火墙上配置特定的放行规则。mDNS 使用目标 IP 224.0.0.251 和 UDP 端口 5353。

规则名称	协议	源端口	目标 IP	目标端口	动作
mDNS 广播入站	UDP	5353	224.0.0.251	5353	接受 (ACCEPT)
mDNS 广播出站	UDP	5353	224.0.0.251	5353	接受 (ACCEPT)
IPv6 mDNS 映射	UDP	5353	ff02::fb	5353	接受 (ACCEPT)

10

内部加密通信：私有 CA 与 HTTPS 集成

域名应用的终极目标是建立安全的服务访问链路。在现代浏览器环境下，未经过 SSL/TLS 加密的 HTTP 访问会被标记为不安全，且许多先进的网络 API（如地理位置、摄像头访问）要求必须在 HTTPS 环境下运行。由于公共 CA 机构无法验证私有顶级域（如 .internal）的所有权，建立私有证书颁发机构（Private CA）是唯一的工业级解决方案。

私有 PKI 架构的设计原则

一套稳健的私有 PKI 架构通常采用多级结构，以防止根密钥泄露导致整个体系崩溃：

1. 离线根 CA（Root CA）：生成长效（如10-20年）的根证书，其私钥应存储在物理隔离的硬件或加密介质中，仅用于签署二级 CA 证书。
2. 在线签发 CA（Issuing CA）：负责具体的证书签发工作。它拥有根 CA 的授权，能够快速响应内网服务的证书请求。
3. 证书吊销列表（CRL）与 OCSP：在内网中部署吊销检查服务，确保被攻破或弃用的证书能够被客户端及时识别并拦截。

证书签发与终端信任集成

针对内网域名（如 nas.corp.internal），管理员通过 OpenSSL 或 Easy-RSA 工具生成证书签名请求（CSR），并由私有 CA 进行签署。在签署过程中，必须在“使用者备用名称”（Subject Alternative Name, SAN）字段中填入完整的内网域名及可能的 IP 地址，否则现代浏览器（如 Chrome）将报错。

为了让子网内的终端设备信任这些证书，必须通过自动化手段分发根证书：

• Windows 环境：利用组策略（GPO）将 .crt 或 .cer 根证书分发至“受信任的根证书颁发机构”存储区。
• macOS/iOS 环境：通过 MDM 配置文件或手动安装并勾选“完全信任”选项。
• Linux 服务器：将根证书添加至 /etc/pki/ca-trust 或 /usr/local/share/ca-certificates 并更新信任库。

实践指南：NAS 与容器化环境的 DNS 部署案例

在多子网内网中，群晖（Synology）、威联通（QNAP）以及 Docker 容器是承载域名应用最常见的平台。

群晖 DNS Server 套件的深度配置

群晖提供的 DNS Server 包允许管理员快速创建主区域（Master Zone）。在创建过程中，建议配置以下参数：

• 解析服务（Resolution）：开启递归查询，并设置转发器（Forwarders），如指向阿里云（223.5.5.5）或 Google（8.8.8.8），以便客户端在解析不到内网域名时能访问互联网。
• 源 IP 限制（Source IP List）：这是一项关键安全设置。应当限制仅允许来自内部子网（如 10.0.0.0/8 或 192.168.0.0/16）的 IP 地址发起查询，防止外部非法探测。
• 反向查找区域（Reverse Zone）：创建以 .in-addr.arpa 结尾的区域，实现从内网 IP 到域名的逆向解析，这对于网络排障和日志审计至关重要。

Docker 环境下的动态域名代理

对于微服务开发环境，利用 finboxio/docker-dns 或 dnsmasq 容器可以实现极其灵活的解析方案。通过挂载主机的 /var/run/docker.sock，DNS 容器可以实时监听其他容器的启动事件。

例如，当一个名为 shop-api 的容器启动时，DNS 服务可以自动为其分配 shop-api.docker 的域名。在多子网环境下，开发人员只需要将本地开发机的 DNS 指向该容器映射出的宿主机端口，即可直接通过域名跨网段访问容器化应用，无需关注 Docker 内部动态生成的 IP 漂移问题。

性能优化与运维监控

在多子网环境下，DNS 解析的性能直接影响到应用的加载速度。由于请求需要跨越路由转发，任何配置不当都会产生可感知的延迟。

缓存策略与 TTL 的科学设定

时间至生活（TTL）值决定了 DNS 记录在客户端及递归解析器中的生存周期。

记录类型	推荐 TTL 值	设定理由
核心基础设施 (网关, DNS)	86400s (24h)	这些设备 IP 极少变动，长 TTL 可大幅减少查询流量，提高响应速度。
业务服务器 (OA, Wiki)	3600s (1h)	兼顾解析效率与迁移灵活性。
动态办公终端 (DHCP)	600s (10min)	匹配 DHCP 租约变化，确保设备移动或下线后域名记录能快速更新。
SOA 记录	3600s	影响主从同步频率。

44

缓存一致性与刷新机制

当内网发生关键 IP 变更而解析未生效时，往往是因为本地缓存（Stale Cache）在作祟。管理员不仅需要清除服务器端的缓存，还需在终端执行清理命令。

一个值得关注的问题是“负缓存”（Negative Caching）。当用户尝试访问一个尚未配置的内网域名时，解析器会缓存 NXDOMAIN（域名不存在）的响应。在随后配置了该域名后，用户可能仍需等待 SOA 记录中定义的“最小 TTL”时间才能正常解析。因此，在进行大规模架构调整前，建议预先缩短 SOA 的最小 TTL。

监控指标与故障排查流程

针对跨子网 DNS 的日常运维，应关注以下核心指标：

• 解析延迟 (Latency)：使用 dig 命令测量从发起请求到收到报文的时间。若跨子网延迟超过 50ms，应检查路由器处理能力及网段间是否存在网络拥塞。
• 查询丢失率 (Packet Loss)：由于 UDP 无连接特性，严重的丢包会导致 DNS 超时报错。
• 非法查询告警：监控大量针对非内网域名的递归查询，这可能暗示内网存在受感染的主机正试图进行域名生成算法（DGA）通信。

排障时应遵循“自下而上”的原则：先验证物理层子网互通性（Ping 网关/服务器 IP），再使用 nslookup 指定服务器地址进行定向解析，最后检查 DHCP 分发配置是否正确送达客户端。

结论

在多子网路由器环境下构建域名应用，本质上是寻求网络结构的物理硬隔离与业务层逻辑软连接之间的平衡。通过采用 .internal 等标准化命名规范，网络管理员能够构建出一个免于公网干扰的清净空间；而 DHCP 中继与 DNS 转发技术的深度结合，则打破了子网间的广播壁垒，实现了网络参数的自动化流转。

面对现代化、加密化的趋势，私有 CA 的引入不再是可选项，而是构建完整、可信域名应用的基石。无论是基于成熟的 BIND9 架构，还是采用现代化的 CoreDNS 插件模式，一套科学规划的内网 DNS 体系都将极大地提升企业的 IT 敏捷度，降低维护成本，并为后续的微服务化及零信任网络演进奠定坚实的命名基础。

引用的著作

1. DHCP和DNS是如何工作的？两者之间有什么区别？-云社区-华为云, 访问时间为 三月 28, 2026， https://bbs.huaweicloud.com/blogs/304809
2. [OpenWrt Wiki] DHCP and DNS examples, 访问时间为 三月 28, 2026， https://openwrt.org/docs/guide-user/base-system/dhcp_configuration
3. DCHP 与DNS | IBM, 访问时间为 三月 28, 2026， https://www.ibm.com/cn-zh/think/insights/dhcp-vs-dns
4. 一文读懂什么是DHCP以及DHCP的功能特点, 访问时间为 三月 28, 2026， https://www.guokeyun.com/news/technology/detail/774.html?navId=22
5. .internal - Wikipedia, 访问时间为 三月 28, 2026， https://en.wikipedia.org/wiki/.internal
6. internal and .home.arpa domains and conditional forwarding - Pi-hole Userspace, 访问时间为 三月 28, 2026， https://discourse.pi-hole.net/t/internal-and-home-arpa-domains-and-conditional-forwarding/80543
7. RFC 6762 - Multicast DNS - IETF Datatracker, 访问时间为 三月 28, 2026， https://datatracker.ietf.org/doc/html/rfc6762
8. Always choose the right DNS / Active Directory domain name for your 2024 home lab, 访问时间为 三月 28, 2026， https://hartiga.de/it-architecture/always-choose-the-right-dns-active-directory-domain-name-for-your-2024-home-lab/
9. ICANN Proposes Creating .INTERNAL Domain - Slashdot, 访问时间为 三月 28, 2026， https://tech.slashdot.org/story/24/01/30/113232/icann-proposes-creating-internal-domain
10. Resolving mDNS across VLANs with Avahi on OpenWRT - Just another Linux geek, 访问时间为 三月 28, 2026， https://blog.christophersmart.com/2020/03/30/resolving-mdns-across-vlans-with-avahi-on-openwrt/
11. Best practices for Cloud DNS | Google Cloud Documentation, 访问时间为 三月 28, 2026， https://docs.cloud.google.com/dns/docs/best-practices
12. DNS for Intranet: Enable Friendly URLs - Server Fault, 访问时间为 三月 28, 2026， https://serverfault.com/questions/248952/dns-for-intranet-enable-friendly-urls
13. 3. Configurations and Zone Files — BIND 9 9.18.14 documentation, 访问时间为 三月 28, 2026， https://bind9.readthedocs.io/en/v9.18.14/chapter3.html
14. Tuning your BIND configuration effectively for zone transfers - ISC Knowledgebase, 访问时间为 三月 28, 2026， https://kb.isc.org/docs/aa-00726
15. Bind Slave Server Notify after adding new zone, 访问时间为 三月 28, 2026， https://serverfault.com/questions/815814/bind-slave-server-notify-after-adding-new-zone
16. Comparison of DNS server software - Wikipedia, 访问时间为 三月 28, 2026， https://en.wikipedia.org/wiki/Comparison_of_DNS_server_software
17. CoreDNS vs BIND DNS Servers - Wallarm, 访问时间为 三月 28, 2026， https://www.wallarm.com/cloud-native-products-101/coredns-vs-bind-dns-servers
18. Setup A Simple Homelab DNS Server Using CoreDNS and Docker | by Ben Soer - Medium, 访问时间为 三月 28, 2026， https://medium.com/@bensoer/setup-a-private-homelab-dns-server-using-coredns-and-docker-edcfdded841a
19. Microsoft DNS vs. BIND - ITPro Today, 访问时间为 三月 28, 2026， https://www.itprotoday.com/networking-security/microsoft-dns-vs-bind
20. Windows DNS server vs Bind - Neowin, 访问时间为 三月 28, 2026， https://www.neowin.net/forum/topic/1093405-windows-dns-server-vs-bind/
21. Using DNS Server for internal DNS Resolution | Synology Community, 访问时间为 三月 28, 2026， https://community.synology.com/enu/forum/17/post/55530
22. Integrating BIND with AD-integrated Microsoft DNS | Michael Kuron’s Blog, 访问时间为 三月 28, 2026， https://blog.michael.kuron-germany.de/2011/10/integrating-bind-with-ad-integrated-microsoft-dns/
23. Network Assessment Full Detail Report | Integracon, 访问时间为 三月 28, 2026， https://integracon.com/wp-content/uploads/2016/06/Sample-Network-Assessment-Full-Detail-Report.pdf
24. 深信服下一代防火墙AF - 用户手册, 访问时间为 三月 28, 2026， https://download.sangfor.com.cn/a10f8d0578f440129e2b001941e72ee7.pdf
25. Configure DNS Forwarding on a Network - DNSFilter Help Center, 访问时间为 三月 28, 2026， https://help.dnsfilter.com/hc/en-us/articles/1500008110261-Configure-DNS-Forwarding-on-a-Network
26. DNS Best Practices: A Definitive Guide for Organizations - Heimdal Security, 访问时间为 三月 28, 2026， https://heimdalsecurity.com/blog/dns-best-practices/
27. DNS Forwarder Configuration | pfSense Documentation, 访问时间为 三月 28, 2026， https://docs.netgate.com/pfsense/en/latest/services/dns/forwarder-config.html
28. Interface and DNS Configuration | pfSense Documentation, 访问时间为 三月 28, 2026， https://docs.netgate.com/pfsense/en/latest/multiwan/interfaces-and-dns.html
29. Forward mDns from one subnet to another? - Server Fault, 访问时间为 三月 28, 2026， https://serverfault.com/questions/121032/forward-mdns-from-one-subnet-to-another
30. Inter Vlan Routing and avahi / bonjour / mdns - Netgate Forum, 访问时间为 三月 28, 2026， https://forum.netgate.com/topic/53829/inter-vlan-routing-and-avahi-bonjour-mdns
31. Bridging mDNS between networks - Installing and Using OpenWrt, 访问时间为 三月 28, 2026， https://forum.openwrt.org/t/bridging-mdns-between-networks/113840
32. 什么是SSL、TLS和HTTPS？ - DigiCert, 访问时间为 三月 28, 2026， https://www.digicert.com/cn/what-is-ssl-tls-and-https
33. 什么是SSL 证书？ - Cloudflare, 访问时间为 三月 28, 2026， https://www.cloudflare.com/zh-cn/learning/ssl/what-is-an-ssl-certificate/
34. Private SSL 102 - The Ultimate Guide to Getting an SSL Certificate for an IP Address, 访问时间为 三月 28, 2026， https://intranetssl.net/blog/private-ssl-102-the-ultimate-guide-to-getting-an-ssl-certificate-for-an-ip-address
35. How can I generate a self-signed SSL certificate using OpenSSL? [closed] - Stack Overflow, 访问时间为 三月 28, 2026， https://stackoverflow.com/questions/10175812/how-can-i-generate-a-self-signed-ssl-certificate-using-openssl
36. 15 Steps for Setting Up Your Own Certificate Authority - The SSL Store, 访问时间为 三月 28, 2026， https://www.thesslstore.com/blog/setting-up-your-own-certificate-authority/
37. Tutorial: Configure External PKI with Easy-RSA - OpenVPN, 访问时间为 三月 28, 2026， https://openvpn.net/as-docs/tutorials/tutorial–epki-with-easy-rsa.html
38. Configuring Synology for Forward and Reverse Internal DNS Resolution - Rob Pickering, 访问时间为 三月 28, 2026， https://robpickering.com/configuring-synology-for-forward-and-reverse-internal-dns-resolution/
39. How do I set up a DNS server on my Synology NAS?, 访问时间为 三月 28, 2026， https://kb.synology.com/DSM/tutorial/How_to_set_up_your_domain_with_Synology_DNS_Server
40. finboxio/docker-dns: Easy wildcard dns for local dev with docker - GitHub, 访问时间为 三月 28, 2026， https://github.com/finboxio/docker-dns
41. Easy multi-tenant wildcard domain setups with Docker and dnsmasq - boxblinkracer, 访问时间为 三月 28, 2026， https://www.boxblinkracer.com/blog/docker-dnsmasq
42. Custom DNS for resolving containers - Docker Community Forums, 访问时间为 三月 28, 2026， https://forums.docker.com/t/custom-dns-for-resolving-containers/8361
43. docker-compose → set wildcard domain name for linked container - Stack Overflow, 访问时间为 三月 28, 2026， https://stackoverflow.com/questions/70800953/docker-compose-%E2%86%92-set-wildcard-domain-name-for-linked-container
44. Common DNS issues and how to fix them - Cloudflare, 访问时间为 三月 28, 2026， https://www.cloudflare.com/learning/dns/common-dns-issues/
45. Understanding DNS Caching: A Key to Faster Internet Resolution - Exam-Labs, 访问时间为 三月 28, 2026， https://www.exam-labs.com/blog/understanding-dns-caching-a-key-to-faster-internet-resolution
46. What Is DNS Cache and How to Flush It - KeyCDN Support, 访问时间为 三月 28, 2026， https://www.keycdn.com/support/dns-cache
47. Flushing DNS Cache: A Step-By-Step Guide to Troubleshoot Your Connection, 访问时间为 三月 28, 2026， https://dmarcreport.com/blog/flushing-dns-cache-step-by-step-guide-to-troubleshoot-connection/
48. Best Practices Guide: DNS Infrastructure … - BlueCat Networks, 访问时间为 三月 28, 2026， https://bluecatnetworks.com/wp-content/uploads/2020/06/DNS-Infrastructure-Deployment.pdf
49. How can I run a DNS server on my NAS? - QNAP, 访问时间为 三月 28, 2026， https://www.qnap.com/en/how-to/faq/article/how-can-i-run-a-dns-server-on-my-qnap-nas