Standar jaringan Layer 2 ini (IEEE 802.1AE) memperkuat perangkat yang terhubung Ethernet melalui beberapa mekanisme utama:

Autentikasi asal: Perangkat MACsec peer saling mengautentikasi satu sama lain menggunakan Connectivity Association Key (CAK) yang terdiri atas nama dan rahasia, yang keduanya harus sama persis di antara peer.

Perlindungan putar ulang: Jendela yang dapat dikonfigurasi memungkinkan penerimaan sejumlah frame di luar urutan yang ditentukan, untuk melindungi dari serangan putar ulang.

Kerahasiaan data: Setelah sesi aman aktif, data dienkripsi menggunakan Secure Association Key (SAK) yang berasal dari protokol MACsec Key Agreement (MKA), untuk memastikan privasi data.

Integritas data: Setiap frame menyertakan Integrity Check Value (ICV), yang harus sesuai dengan nilai yang diharapkan di sisi penerima, sehingga menjamin data belum dirusak.

Fitur ini menyediakan kebijakan MACsec yang dapat dikonfigurasi, dengan CAK primer dan CAK fallback opsional. CAK cadangan bertindak sebagai cadangan, mengamankan sesi MACsec jika ada perbedaan nama atau rahasia yang muncul dengan CAK utama di antara peer. Rahasia CAK disimpan dengan aman sebagai sumber daya kunci Hyper Protect Crypto Services (HPCS) di dalam instance HPCS pelanggan. Setelah peer dikonfigurasi dengan kebijakan MacSec dan CAK, tautan langsung akan memulai sesi MACsec, melindungi kerangka data yang dipertukarkan antara perangkat pelanggan yang berkemampuan MACsec dan switch cross-connect IBM.