IEEE 802.1Xとは、LAN接続時に使用する認証規格（認証VLAN）である。接続を認めた端末機器以外がコンピュータネットワークに参加しないように認証によって接続を規制する。有線と無線の接続に使用できる検疫ネットワークのデータリンク層の技術である。

IEEE 802.1Xを使った認証システムは、以下のものから構成される。

サプリカント（Supplicant） - 認証クライアント・ソフトウェア。接続しようとするパソコン上で必要である。

オーセンティケータ - 802.1Xに対応したLANスイッチ。

認証サーバ - 認証を判断するサーバ。RADIUSまたはDIAMETER認証サーバなど。

本項目ではレイヤ2スイッチやインテリジェント・ハブ、LANスイッチと呼ばれているネットワーク機器を「LANスイッチ」と呼ぶ。また、802.1Xに対応したLANスイッチを「認証LANスイッチ」と、サプリカント・ソフトウェアを備えたクライアントPCを「サプリカントPC」と呼ぶ。

IEEE 802.1XはEthernetの認証であるのに対して、RADIUSはIP以上での認証であり、これらは混同されやすいが取り扱うレイヤが異なる。
動作

IEEE 802.1Xを使った認証動作は以下の3段階からなる。

接続

EAP（Extended authentication protocol）による認証

認証完了
IEEE 802.1Xの認証手順
接続
有線LAN
有線接続のLANでは、802.1Xに対応したLANスイッチに端末であるパソコンが接続された時点で認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。
無線LAN
無線LANではアソシエーション後に認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。EAPデータは最初にサプリカントとオーセンティケータの間でEAPOLフレームにカプセル化される（1）。次に、オーセンティケータと認証サーバとの間で再カプセル化される（2）。
EAPによる認証

EAPメッセージを認証LANスイッチを経由して認証サーバと何度かやりとりを交わすことで、認証を受ける。サプリカントのMACフレームは認証LANスイッチによってRADIUSフレームに変換されて認証サーバへ送られ、逆に認証サーバから返信されるRADIUSフレームは認証LANスイッチによってMACフレームへ変換されてサプリカントへ送られる。認証LANスイッチはサプリカントPCからの通信は認証サーバへのもの以外は受け付けない。
認証完了

認証が完了して、初めてサプリカントはネットワークに自由に接続できるようになる。認証の種類によっては認証完了時に認証サーバから認証LANスイッチに暗号鍵の材料や所属LANの情報などが通知され、認証LANスイッチからサプリカントに暗号鍵が通知されることがある。
EAP

802.1Xに使用できるEAPはいくつかあるが、サプリカントと認証サーバの両方が対応している必要がある。
EAP-MD5
EAP-MD5（EAP-Message digest algorithm 5）はIDとパスワードで認証する方式。パスワードはチャレンジ＆レスポンス方式で暗号化されて送信される。無線LANでは安全ではない。
EAP-TLS
EAP-TLS（EAP-Transport layer security）はデジタル電子証明書を使って認証する方式。IDやパスワードは使用されない。スマートカードやUSBキー（ドングル）と組み合わせて使用されることが多い。無線LANでもほぼ安全。
PEAP
PEAP（Protected EAP）は米マイクロソフト社が開発したEAP規格でIDとパスワードで認証する方式。SSL（Secure Sockets Layer）と同じ暗号化技術によって認証通信全体が暗号化されている。暗号化のために認証サーバにデジタル電子証明書が必要。無線LANでもほぼ安全。
LEAP
LEAP（Lightweight EAP）は米シスコシステムズ社が開発したEAP製品。
EAP-TTLS
EAP-TTLS（EAP-Tunneled transport layer security）は米ファンク・ソフトウェア社（Funk Software）が開発したEAP製品。「Extensible Authentication Protocol」も参照
接続環境
中継機器

サプリカントPCと認証LANスイッチは直接接続されることが必要であるが、仮に両者の間に別のネットワーク機器が存在した場合の動作を以下に示す。
通常のLANスイッチ
サプリカントが送信するEAPメッセージを含んだMACフレームは、マルチキャスト・アドレスで送信されているために、通常のLANスイッチではセグメント外部にある認証LANスイッチへ転送しない。このため、認証動作が行われず、サプリカントPCであるクライアントPCはネットワークに接続されない。
リピータ・ハブ
サプリカントが送信するEAPメッセージを含んだMACフレームは、リピータ・ハブによって認証LANスイッチへ転送される。認証LANスイッチは送り手側にリピータ・ハブが介在していることが判らないため、認証要求を受付けて、認証接続の動作を開始する。サプリカントPCが認証を完了してネットワークに接続された場合に問題となるのは、リピータ・ハブに接続された他のPCは、認証を受けずにそのままネットワークに接続が可能となることである。認証LANスイッチの認証はポート単位で行われているため、その1つの認証済みポートに接続されたリピーター・ハブの配下の全てのPCがネットワークへの接続を許されてしまう。