方案1：虚拟化方案
将汇聚层设备定义为认证点与策略执行点，同时汇聚层设备作为边缘节点Edge。
终端通过认证之后，汇聚设备将具备该终端的IP及安全组对应信息（IP-Group）
当同一台汇聚设备下不同终端进行互访时，因为汇聚设备已经具备了不同终端的IP-Group信息，故
可以直接查找安全策略矩阵去实现业务的控制，允许互访的安全组数据包正常转发，不允许互访的安全组
数据包丢弃。
当不同汇聚设备下不同终端进行互访时，因汇聚设备只能源终端的IP-Group信息，缺少目的终端IP-Group
信息，故无法直接查找策略矩阵实现业务控制。
在虚拟化场景下，汇聚设备作为边缘节点Edge，在转发数据包时，会将终端的IP-Group信息封装入
Vxlan报文中发送给对端汇聚设备。为此，对端设备就能根据目的安全组及Vxlan报文中的源安全组进行
策略矩阵的查找，允许互访的安全组数据包正常转发，不允许互访的安全组数据包丢弃。
方案2：非虚拟化方案
将汇聚层设备定义为认证点与策略执行点，同时汇聚层设备作为边缘节点Edge。
终端通过认证之后，汇聚设备将具备该终端的IP及安全组对应信息（IP-Group）
当同一台汇聚设备下不同终端进行互访时，因为汇聚设备已经具备了不同终端的IP-Group信息，故
可以直接查找安全策略矩阵去实现业务的控制，允许互访的安全组数据包正常转发，不允许互访的安全组
数据包丢弃。
当不同汇聚设备下不同终端进行互访时，因汇聚设备只能源终端的IP-Group信息，缺少目的终端IP-Group
信息，故无法直接查找策略矩阵实现业务控制。
在非虚拟化场景下，可以通过在NCE-Compus上订阅IP-Group信息，由控制器向其它汇聚设备推送
目的终端的IP-Group信息，这样其它汇聚设备就能学习到目的终端所属安全组信息，拥有了目的终端的
IP-Group信息就可以进行策略矩阵的查找，允许互访的安全组数据包正常转发，不允许互访的安全组数据包丢弃。