方案1：虚拟化场景方案
在虚拟化园区的场景下，可以将汇聚设备同时设置为认证点和策略执行点。
将汇聚设备设置为边缘节点Edge，终端设备认证通过后，
Edge设备会获取到UCL组信息，并学习该节点下所有终端的IP与安全组对应信息。
当两台终端在同一台汇聚设备下进行相互访问时，
汇聚设备可以直接根据数据包的源目IP信息查找安全组对应表，
确定源目IP所属安全组，然后基于安全组策略矩阵实现业务控制。
允许互访的安全组数据包可以正常转发，不允许的安全组数据包则丢弃。
当不在同一台汇聚设备下的两台终端需要相互访问时，
由于汇聚设备上只会有源终端的IP-Group对应信息，因此无法将对应的安全策略应用到数据转发中。
然而，在虚拟化场景下，汇聚设备作为边缘节点，在转发数据包时会进行VXLAN的封装，
将终端设备的安全组信息封装到VXLAN报文中发布给对端的Edge设备，
从而使对端Edge设备了解工作在其它汇聚层下的终端所属安全组信息。
最后，对端Edge设备根据VXLAN报文中的源目安全组，
在策略矩阵中查找允许互访的安全组流量进行转发，不允许的安全组流量则丢弃。
方案2：非虚拟化场景方案
在非虚拟化园区的场景下，可以将汇聚设备同时设置为认证点和策略执行点。
将汇聚设备设置为边缘节点Edge，终端设备认证通过后，
Edge设备会获取到UCL组信息，并学习该节点下所有终端的IP与安全组对应信息。
当两台终端在同一台汇聚设备下进行相互访问时，
汇聚设备可以直接根据数据包的源目IP信息查找安全组对应表，
确定源目IP所属安全组，然后基于安全组策略矩阵实现业务控制。
允许互访的安全组数据包可以正常转发，不允许的安全组数据包则丢弃。
当不在同一台汇聚设备下的两台终端需要相互访问时，
由于汇聚设备上只会有源终端的IP-Group对应信息，因此无法将对应的安全策略应用到数据转发中。
在非虚拟化场景下，数据包无法携带自身的安全组信息，
因此需要实现两台终端都能获取到正常的权限，就需要在NCE-Compus上部署IP-Group订阅。
控制器会将目的终端的IP地址和安全组对应关系推送到其它汇聚层设备上，
这样其它汇聚层设备就能学习到目的终端所属的安全组。
当拥有了目的终端的IP-Group表项后，就可以根据数据包中的源目IP地址和IP-Group表，
查看对应的安全策略矩阵进行转发与丢弃操作。