Bem, na maioria das vezes você está certo. Sob configuração / operação normal, todo o tráfego da camada dois não deve ser capaz de "escapar" da VLAN onde é gerado.
Existem alguns cenários (VLAN hopping e DTP negotiation vêm à minha mente) onde o tráfego pode vazar para outras VLANs sem passar primeiro por um dispositivo de camada 3 (roteador a.k.a.).
Com "VLAN hopping" se o ID de VLAN nativo de um tronco for igual ao ID de VLAN atribuído para a porta do switch onde está localizado o host que está gerando o tráfego, ele pode double 802.1q-tag tráfego e, em seguida, esse tráfego "aparecer" na outra extremidade de um tronco em uma VLAN diferente de onde se originou.
Esta é a razão pela qual um bom procedimento operacional é nunca usar a VLAN 1 para suas portas de acesso (por padrão, a VLAN nativa de um tronco é 1). Outro bom procedimento operacional é atribuir um ID de VLAN nativo exclusivo para troncos e, em seguida, configurar cada um e cada tronco em sua organização com esse ID de VLAN exclusivo de tronco único.
Você pode dar uma olhada neste artigo