Bei klassischem drahtgebundenen Ethernet gilt es ebenso zu verhindern, dass unbefugte Personen einen Zugriff zum Netzwerk erhalten.
Ohne spezielle Schutzmaßnahmen kann jeder der innerhalb des Firmengeländes physischen Zugriff auf eine Netzwerkdose erlangt, eigene Geräte (z.B. Laptop) anschließen und das Netzwerk attackieren (Port Scans, Rogue DHCP Server etc.).
Manche Switches bieten als Gegenmaßnahmen MAC-Filter pro Port bzw. spezielle DHCP Snooping Maßnahmen an, doch diese sind weitgehend umständlich zu administrieren (jeder Switchport muss einzeln für die entsprechenden MACs konfiguriert werden) bzw. leicht zu umgehen (z.B. mit MAC Spoofing).
Weitaus effektiver und flexibler ist der Einsatz einer 802.1x Authentifizierung mit RADIUS. Damit ist analog zu Wireless Verbindungen (siehe W-LAN und 802.1X) eine Computer bzw. Benutzerbezogene Authentifizierung mit den entsprechenden X.509 Zertifikaten möglich, eine standardmäßige Verschlüsselung des Verkehrs zum Authenticator findet dabei aber im Gegensatz zu WPA/WPA2 nicht statt.
