Funciona assim, nalcon: você se conecta no switch gerenciável, este percebe e inicia a autenticação, usando uma mensagem EAP. Seu equipamento (suplicante) recebe a mensagem e responde com uma credencial. O switch (autenticador) recebe suas credenciais e as encaminha ao servidor de autenticação, que diz se aquelas credenciais são válidas ou não para esse serviço.
802.1x também é usado para conexões wireless empresariais, funcionando basicamente da mesma forma --- apenas em vez do suplicante se conectar por cabo, ele se conecta por wireless, e o autenticador, ao invés de ser um switch, é um AP.