khi nãy em nghĩ, nếu nhà mạng cấp cho mình prefix /64, vậy mình có tự chia nhỏ hơn 1 phần cho cái LAN bridge và dùng 1 phần khác cho container bridge được không ? như vậy mình sẽ có GUA luôn cả 2 bên ?
Bác có thể làm được điều này nhưng nó sẽ vô cùng bất tiện với khả năng hiện thời của RouterOS ạ. Lý do là DHCPv6 server của RouterOS không có khả năng cấp phát địa chỉ IPv6 đơn lẻ cho thiết bị, chỉ có khả năng làm máy chủ cấp prefix (prefix delegation). Còn cái để các thiết bị tự cấp địa chỉ cho mình mà dùng được trên RouterOS là SLAAC (bật cái Advertise trong cửa sổ Address với thêm entry bên Neighbor Discovery) thì nó bắt buộc prefix phải là /64.
Tức là giờ bác muốn chia nhỏ cái nhà mạng cấp ra thành nhiều cái /80 chẳng hạn, thì bác phải add trên router các dải /80 cho các bridge/vlan, v.v... mà không được bật Advertise (bật thì nó cũng không cho bác điền dải nhỏ hơn /64 đâu), sau đó trên từng thiết bị bác sẽ phải đặt địa chỉ static bằng tay. Điều này cũng có nghĩa là mỗi khi quay PPPoE nhà mạng cho prefix mới thì bác lại phải chạy một vòng qua các thiết bị sửa lại prefix!
Bác có thể nghĩ đến ý tưởng làm kiểu để nguyên cái /64 với SLAAC trên bridge chính, để các thiết bị cắm vào bridge chính đó tự nhận được địa chỉ, và bên cạnh đó bác nhặt ra vài địa chỉ, hoặc vùng địa chỉ nhỏ trong dải đó rồi gắn bằng tay cho các thiết bị và interface khác. Lúc này phải thêm entry vào bảng route, để cho các route có dải nhỏ hơn đó được lái ra interface đúng, còn cái route cho cái subnet /64 thì vẫn lái ra cái bridge, và tất nhiên phải cầu nguyện là không có thiết bị dùng SLAAC nào tự gán cho mình 1 địa chỉ rơi đúng vào cái phần bác tách ra này. Vẫn bị vấn đề phải sửa địa chỉ mỗi khi nhà mạng cho subnet mới, nhưng nếu bác chỉ dùng cho các container chạy trên router thì về lý thuyết có thể viết script tự update phần prefix của các container này.
Tuy nhiên cách này cũng sẽ FAIL một cách đáng buồn, ở chỗ là có thể các container của bác vào được internet bằng địa chỉ GUA không cần NAT, nhưng đổi lại, các thiết bị dùng SLAAC ở cái subnet /64 kia hết đường nối vào các container này nữa. Lý do là các thiêt bị cấu hình với SLAAC kia nhìn thấy subnet của mình là /64, nên khi bác cho chúng nối vào 1 địa chỉ của container đã được bác hack kiểu kia thì chúng sẽ nghĩ địa chỉ đó vẫn nằm trong subnet với mình, nên sẽ không đi qua router mà tìm cách nói chuyện với địa chỉ đó trực tiếp trên link layer (layer 2), bằng neighbor discovery này nọ. Trong khi cái container thì không nằm trên cùng layer 2 này rồi nên sẽ không bao giờ tìm được nó.
Tóm lại chia nhỏ subnet /64 chỉ thực tế khi bác có prefix tương đối tĩnh, và có máy chủ DHCPv6 có đầy đủ tính năng, hoặc số thiết bị đủ ít để có thể cấu hình manual bằng tay được.