As licenças de AnyConnect são limitadas em acesso simultâneo, exemplificando se você possuir uma licença de 100 usuários mas o seu ambiente possui 300 usuários de VPN, apenas 100 usuários poderão acessar a VPN ao mesmo tempo.

O dimensionamento do ambiente deve levar em consideração esse fator mais uma margem de transbordo (geralmente uns 10% a 15%). Claro que você está livre para licenciar a todos os usuários caso não queira nenhum problema com relação a isso.

Lembrando que é importante levar em consideração o limite do Firewall que está com a funcionalidade de VPNRA, conforme o datasheet.

Olá! Antigamente tínhamos disponível no ACE, mas hoje o equipamento está em End-of-Life. Atualmente não temos nenhuma solução de GSLB disponível.

Você pode fazer isso de duas formas:

1. Usar uma solução de GSLB
2. Usar um serviço de DynDNS (ou DDNS) e atualizar as entradas FQDN usando a configuração de DynDNS disponíveis nos roteadores e firewalls Cisco (IOS, ASA e FTD)

Ambas as soluções lhe permitem uma alta gama de personalizações como métricas, triggers, etc. Porém cada uma apresenta custos, complexidades e desafios diferentes que devem ser escolhidas de acordo com a arquitetura da sua rede. Por isso não existe uma melhor forma neste caso.

Olá! O OpenDNS é um serviço de segurança de DNS voltado para utilização doméstica, enquanto o Cisco Umbrella é voltado para o seguimento corporativo. Além da diferença de custo, várias funcionalidades avançadas estão disponíveis somente para o Umbrella.

Sim você pode usar o OpenDNS em suas máquinas pessoais, existem diferenças entre a versão paga e gratuita que estão esclarecidas neste mesmo link que você enviou: https://www.opendns.com/home-internet-security/

Complementando essa opção doméstica, você pode usar também o Immunet: https://www.immunet.com que é a versão do gratuita do Cisco AMP for Endpoints.

Com essas duas soluções aplicadas em seu ambiente doméstico, você garante um alto nível de segurança usando as soluções Cisco!

Olá! Você pode usar o Cisco DUO como uma alternativa aos MDMs atuais disponíveis no mercado. Este possui uma abordagem menos invasiva nos dispositivos, sendo muito útil principalmente em ambiente BYOD.

Dê uma olhada nos links abaixo:

https://duo.com/blog/secure-byod-without-an-mdm

https://duo.com/resources/ebooks/ten-things-to-consider-before-buying-an-mdm-solution 

Olá! Infelizmente você não pode utilizar certificados de máquina no FTD como Remote Access VPN.

Somente os três métodos abaixo de autenticação estão disponíveis:

1. AAA Only
2. Client Certificate Only
3. Client Certificate & AAA

Essas informações estão disponíveis em https://www.cisco.com/c/en/us/td/docs/security/firepower/640/configuration/guide/fpmc-config-guide-v64/firepower_threat_defense_remote_access_vpns.html#task_ngy_zcd_5gb 

Se você deseja restringir acesso de RA VPN baseado em atributos de máquina, você deve integrar o Cisco ISE na sua rede e realizar postura no AnyConnect, assim você consegue bloquear acesso VPN à uma máquina não autorizada que contenha o certificado e credenciais válidos da sua infraestrutura.