Protokol 802.1x slouží k ověřování přístupu k síti, takže jeho podpora v switchi je nezbytná*. Ten protokol je celkem dobře popsaný na Wikipedii:
https://en.wikipedia.org/wiki/IEEE_802.1XPo připojení počítače tedy začne switch (autentikátor) posílat EAPOL zprávy EAP-Request Identity. Na ty se chytí
supplicant v počítači a začne se bavit prostřednictvím autentikátoru přímo s autentikačním serverem - switch tu pouze překládá zprávy EAPOL do zpráv RADIUS, ale jinak do komunikace nezasahuje. Supplikant a autentikační server si některým z mnoha způsobů vzájemně ověří identitu. Mimochodem, autentikační server může být klidně i na druhém konci planety - tak například funguje síť eduroam, kde se každý uživatel ověřuje vždy na RADIUS serveru své domovské instituce.
V případě úspěšného ověření autentikátor dostane od autentikačního serveru zprávu Access-accept, na základě které otevře příslušný port pro veškerý provoz. Volitelně ještě může ve zprávě dostat číslo VLAN, do které má být dané zařízení připojeno, takže je možné na jednom kabelu střídat různé sítě v závislosti na tom, jak se kdo ověří. V neposlední řadě je možné i zařízení, které se úspěšně neověřilo, připojit do speciální VLANy, typicky zobrazující captive portál s uživatelsky přátelskou prezentací chyby a případně samoregistračním formulářem.
*) občas je možné použít v omezené míře i hloupé switche s tím, že autentizace neprobíhá na úrovni fyzického portu, ale na úrovni konkrétní MAC adresy. Pak ale samozřejmě není možné dělat dynamické přiřazování VLAN.