Coloque cada tenant em sua própria vlan, compartilhe recursos em uma vlan separada e configure o roteamento entre eles.
Cada vlan é como um 'switch-in-a-switch'. Se as portas 1-4 estão em vlan10 e 5-8 estão em vlan20, então é o mesmo que ter 2 switches de 4 portas em uma caixa. Os uplinks são "combinados" como porta de tronco.
Conecte o roteador a uma porta de tronco e configure vlans no roteador (você obtém uma "interface virtual" para cada vlan, então, novamente, como em muitos switches e interfaces diferentes que se conectam a eles, mas com apenas um cabo e uma interface real), e configurar o roteamento apropriado e o firewall onde necessário (o roteamento não deve ser um problema e deve funcionar imediatamente, mas todos os representantes poderão alcançar todas as redes dos outros anunciantes sem algumas regras de firewall / ACLs) .
Configure regras para desautorizar conexões de uma rede de domínio para outra, mas permita conexões de todas as redes internas para a rede de recursos compartilhados.
Compartilhar a conexão com a internet é um pouco complicado se você precisar de endereços públicos, mas se estiver atras da nat, apenas ative nat em todas as interfaces onde for necessário.