Este estándar de red de capa 2 (IEEE 802.1AE) fortalece los dispositivos conectados a Ethernet a través de varios mecanismos clave:

Protección contra repetición: una ventana configurable permite la aceptación de un número definido de tramas fuera de secuencia, protegiendo contra ataques de repetición.

Confidencialidad de los datos: una vez que se activa una sesión segura, los datos se cifran mediante una clave de asociación segura (SAK) derivada del protocolo MACsec Key Agreement (MKA), lo que garantiza la protección de los datos.

Integridad de los datos: cada trama incluye un valor de comprobación de integridad (ICV), que debe coincidir con los valores esperados en el extremo receptor, lo que garantiza que los datos no hayan sido manipulados.

Esta característica proporciona una política MACsec configurable, con un CAK principal y un CAK alternativo opcional. El CAK alternativo actúa como copia de seguridad, protegiendo la sesión MACsec si surge una discrepancia de nombre o secreto con la CAK principal entre pares. Los secretos CAK se almacenan de forma segura como recursos clave de Hyper Protect Crypto Services (HPCS) dentro de la instancia HPCS del cliente. Una vez que los pares estén configurados con una política MACsec y CAK, el enlace directo iniciará una sesión MACsec, protegiendo las tramas de datos intercambiadas entre el dispositivo compatible con MACsec del cliente y el conmutador de conexión cruzada de IBM.