ipsec除加密外，还用认证确保加密数据的整体性和真实性。

    你可以简单地认为，加密可以提供足够的保护，确保无人可以听懂传输内容。但是，加密技术对修改加密数据没有任何保护措施。

    如果有人能够截取加密数据流并对它进行修改，接收端在解密收到的信息后，其结果也被改变了。当然，对截取数据流的人而言，修改后的内容是无法预料的，可是，如果其目的是用这种巧妙的方式进行破坏，那么只修改加密数据就足够了。例如，如果发送的文件要打印成千上万份，谁希望每十页就出现一些乱码呢？

    在这里，就需要使用认证技术了。它向接收者证明，数据确实是由原来的发送者发送的。更重要的是，它证明了数据自发送后未做过任何改动。

    认证不具有自动防范入侵者破坏加密数据流的功能。不过，如果数据被改动，它能够检测出来，并重新发送被修改的数据。如果所有加密数据均被改动，数据流确实被破坏，但还是可以接收到破坏的数据。

    与固定连接相比，从整体上说，我们认为这些特性是令人满意的。如果使用光纤这样的固定连接，光纤还是会被切断，使通讯中断。然而，如果保护私网固定连接的唯一方式是电缆的安全性，而缺少任何物理保护措施，仍然不能保证有人会挖掘光纤，并监听发送的所有内容或改动发送数据。有了ipsec提供的加密和认证vpn，那么，唯一令人担忧的问题就是物理通讯受到破坏了。