Isso se chama Split Tunneling . Há montes de documentação sobre como configurar isso para AnyConnect. Eu acho que AnyConnect é muito mais fácil de configurar dentro do ASDM, mas uma parte relevante da configuração pode ser assim:
access-list split-internet-headoffice standard permit 192.168.100.0 255.255.254.0
access-list split-internet-headoffice standard permit 192.168.161.0 255.255.255.0
group-policy GroupPolicy_Staff attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-internet-headoffice