在CentOS系统中，DHCP服务器的安全选项可以通过配置/etc/dhcp/dhcpd.conf文件来启用。以下是一些常见的安全选项及其配置方法：

1. 限制DHCP客户端IP地址池： 通过定义IP地址池并限制其范围，可以防止未经授权的设备获取IP地址。

   subnet 192.168.1.0 netmask 255.255.255.0 {
       range 192.168.1.10 192.168.1.100;
       option routers 192.168.1.1;
       option subnet-mask 255.255.255.0;
       option domain-name-servers 192.168.1.2;
   }
   

2. 启用DHCP Snooping： DHCP Snooping是一种安全特性，用于防止DHCP欺骗攻击。它通过监控和验证DHCP消息来确保只有合法的DHCP服务器可以分配IP地址。

   首先，确保内核支持DHCP Snooping，然后在/etc/sysctl.conf文件中添加以下配置：

   net.ipv4.conf.all.arp_announce = 2
   net.ipv4.conf.all.arp_ignore = 1
   

   然后运行以下命令使配置生效：

   sysctl -p
   

   接下来，在交换机上配置DHCP Snooping绑定表，并将信任端口设置为连接到DHCP服务器的端口。

3. 启用IP Source Guard： IP Source Guard用于防止IP地址欺骗攻击。它通过绑定IP地址和MAC地址来确保只有合法的IP地址可以从特定端口发送流量。

   在交换机上配置IP Source Guard绑定表，并将信任端口设置为连接到DHCP服务器的端口。

4. 限制DHCP租约时间： 通过限制DHCP租约时间，可以减少未经授权的设备长时间占用IP地址的风险。

   default-lease-time 600;  # 默认租约时间为600秒（10分钟）
   max-lease-time 7200;     # 最大租约时间为7200秒（2小时）
   

5. 启用DHCPv6安全选项： 如果使用DHCPv6，可以通过配置/etc/dhcp/dhcpd6.conf文件来启用安全选项，例如：

   subnet6 fe80::/64 {
       range6 fe80::100 fe80::200;
       option dhcp6.name-servers fe80::1;
       option dhcp6.domain-search "example.com";
   }
   

6. 日志记录： 启用详细的日志记录可以帮助检测和诊断潜在的安全问题。

   log-facility local7;
   

   然后在/etc/rsyslog.conf文件中添加以下配置以将DHCP日志发送到本地日志服务器：

   local7.* /var/log/dhcpd.log
   

   最后，重启rsyslog服务以使配置生效：

   systemctl restart rsyslog
   

通过以上步骤，您可以在CentOS系统中启用和配置DHCP服务器的安全选项，以提高网络的安全性。