方案1：虚拟化方案在虚拟化方案中，可以将汇聚设备同时设置为认证点与策略执行点。汇聚设备作为边缘节点Edge设备
，在终端认证通过之后，可以获取到对应终端的IP地址以及其安全组对应信息。如果两台终端设备需要在同一台汇聚设备下
进行互访，那么汇聚设备可以直接根据报文中源IP地址查找对应的安全组，并基于安全组策略矩阵实现业务流量的控制。允
许互访的安全组流量将放行，不允许互访的安全组流量将拒绝。如果两台终端不在同一台汇聚设备下需要进行互访，那么就会
因为在汇聚设备上缺少目的IP地址的对应安全组，从而无法获取上对应的安全组策略矩阵从而无法实现流量互访。然而，在
虚拟化场景下，汇聚设备作为边缘节点在转发数据报文时会将源IP地址对应的安全组封装上VXLAN报文中转发给目的的
汇聚设备。目的汇聚设备通过发送而来的源IP地址与对应安全组在本地查找安全组策略矩阵实现业务的控制，实现最终终端
互访。
方案2：非虚拟化方案在非虚拟化方案中，可以将汇聚设备同时设置为认证点与策略执行点。汇聚设备作为边缘节点E
dge设备，在终端认证通过之后，可以获取到对应终端的IP地址以及其安全组对应信息。如果两台终端设备需要在同一台
汇聚设备下进行互访，那么汇聚设备可以直接根据报文中源IP地址查找对应的安全组，并基于安全组策略矩阵实现业务流量
的控制。允许互访的安全组流量将放行，不允许互访的安全组流量将拒绝。如果两台终端不在同一台汇聚设备下需要进行互访
，那么就会因为在汇聚设备上缺少目的IP地址的对应安全组，从而无法获取上对应的安全组策略矩阵从而无法实现流量互访
。在非虚拟化场景中，不同汇聚设备之间转发的报文并不会携带安全组信息，故无法实现互访。但可以通过在NCE-Com
pus控制器上配置IP-Group订阅，实现让控制器将目的汇聚设备的安全组对应信息，推送给各自的汇聚层设备，从
而实现安全组的共享同步。相互了解到了对端的安全组对应信息，这样就能通过安全组策略矩阵实现业务的控制了。